Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Aparece un ransomware que afecta a Linux




Este tipo de ransomware reportado por la firma Dr. Web busca hacerse de archivos, páginas e imágenes del sitio afectado basado en Linux para pedir a su administrador el pago de un rescate de 1 bitcoin (aproximadamente 300 dólares, según The Hacker News) a cambio de descifrarlos.





Un ransomware es un tipo de programa que puede acceder a nuestro ordenador para bloquearlo parcial y totalmente. Lo hace cifrando nuestros archivos para que no podamos acceder a ellos a no ser que paguemos un rescate. Además, los expertos en seguridad tampoco aconsejan que se pague el rescate, ya que no hay manera de saber si después se nos devolverá el acceso a los archivos.

Linux, víctima de un ransomware que apunta a servidores web




En concreto, la amenaza cifra archivos con extensiones conocidas para desarrollar un sitio web, y funciona correctamente solo si se ejecuta con permisos de root. Una vez que está corriendo el servicio, cifra y borra los archivos originales, utilizando el algoritmo de RSA AES de 2048 bits y cambiando las extensiones a “.encrypt”. De este modo, la víctima visualiza un mensaje que le solicita el pago de 1 bitcoin por el rescate y recuperación de su información, mediante un enlace a la red Tor.

¿Qué tipo de archivos se ven afectados?

Este ransomware busca cifrar archivos pertenecientes a las carpetas home, root, MySQL, Apache, git, svn, webapp, www, public_html y backup, que normalmente están presentes en los servidores y contienen la mayor porción de información que un visitante utiliza.

A su vez, curiosamente, cifra archivos de desarrollo web como son las extensiones .JS, .CSS, .properties, .XML, .ruby, .PHP, .HTML, .GZ, y .ASP. Por otra parte, como cualquier otro código malicioso de esta familia, afecta a archivos más comunes como .RAR, .7Z, .XLS, .PDF, .DOC, .AVI, .MOV, .PNG, y .JPG. Esto significa que no solo busca los que alojen información sino también a los que contengan código funcional de la página afectada.



  • /home
  • /root
  • /var/lib/mysql
  • //www
  • /etc/nginx
  • /etc/apache2
  • /var/log

Posibles escenarios de infección del ransomware Linux/Filecoder.A

Si bien el método y objetivo del cifrado de archivos o información es el mismo en todos los casos de ransomware, las diferencias en este caso radican en el nivel de daño que puede causar al proyecto web de los desarrolladores o la compañía. Diego Perez, Malware Analyst de ESET, señala dos escenarios:

1. Infección al servidor en donde se encuentra el sitio web

En caso de que el código malicioso haya logrado infectar al servidor en donde se encuentra la versión estable del sitio web, el daño que se va reflejar a simple vista es la imposibilidad de ingresar al mismo, ya que no se podrán leer los archivos. Podríamos decir que el daño no lo tendría el equipo de desarrollo sino el servicio de hosting que fue contratado para subir el sitio web.
En este caso se debería informar a los responsables del servidor para que realicen una exploración y eliminen el código malicioso. Luego del proceso antes mencionado, se debería volver a subir los archivos correspondientes y así el sitio web estaría disponible para los usuarios.

2. Infección al equipo o compañía de desarrollo del sitio web

En este escenario el daño que el código malicioso lograría es aún mayor que en el caso anterior. ¿Por qué? Porque el ransomware cifraría todo el proyecto junto con los archivos de la empresa desarrolladora del sitio web, y en caso de que no se tuviera un respaldo o backup de la información secuestrada, el daño sería crítico.

Ante amenazas como este ransomware que apunta a servidores web, lo necesario es contar con una solución de seguridad antivirus, protocolos y procesos de seguridad adecuados y un backup diario de la información sensible. Por otro lado, como siempre afirmamos, no es aconsejable pagar el rescate, aunque el FBI diga lo contrario.

Fuente;

0 comentarios :

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.