Un ransomware es un tipo de programa que puede acceder a nuestro ordenador para bloquearlo parcial y totalmente. Lo hace cifrando nuestros archivos para que no podamos acceder a ellos a no ser que paguemos un rescate. Además, los expertos en seguridad tampoco aconsejan que se pague el rescate, ya que no hay manera de saber si después se nos devolverá el acceso a los archivos.
Linux, víctima de un ransomware que apunta a servidores web
En concreto, la amenaza cifra archivos con
extensiones conocidas para desarrollar un sitio web, y funciona
correctamente solo si se ejecuta con permisos de root.
Una vez que está corriendo el servicio, cifra y borra los archivos
originales, utilizando el algoritmo de RSA AES de 2048 bits y cambiando
las extensiones a “.encrypt”. De este modo, la víctima visualiza un
mensaje que le solicita el pago de 1 bitcoin por el rescate y
recuperación de su información, mediante un enlace a la red Tor.
¿Qué tipo de archivos se ven afectados?
Este ransomware busca cifrar archivos
pertenecientes a las carpetas home, root, MySQL, Apache, git, svn,
webapp, www, public_html y backup, que normalmente están presentes en
los servidores y contienen la mayor porción de información que un
visitante utiliza.
A su vez, curiosamente, cifra archivos de desarrollo web
como son las extensiones .JS, .CSS, .properties, .XML, .ruby, .PHP,
.HTML, .GZ, y .ASP. Por otra parte, como cualquier otro código malicioso
de esta familia, afecta a archivos más comunes como .RAR, .7Z, .XLS,
.PDF, .DOC, .AVI, .MOV, .PNG, y .JPG. Esto significa que no solo busca
los que alojen información sino también a los que contengan código
funcional de la página afectada.
El malware busca archivos en:
El malware busca archivos en:
- /home
- /root
- /var/lib/mysql
- //www
- /etc/nginx
- /etc/apache2
- /var/log
Posibles escenarios de infección del ransomware Linux/Filecoder.A
Si bien el método y objetivo del cifrado de archivos o información es el mismo en todos los casos de ransomware,
las diferencias en este caso radican en el nivel de daño que puede
causar al proyecto web de los desarrolladores o la compañía. Diego
Perez, Malware Analyst de ESET, señala dos escenarios:
1. Infección al servidor en donde se encuentra el sitio web
En caso de que el código malicioso haya logrado
infectar al servidor en donde se encuentra la versión estable del sitio
web, el daño que se va reflejar a simple vista es la imposibilidad de
ingresar al mismo, ya que no se podrán leer los archivos. Podríamos
decir que el daño no lo tendría el equipo de desarrollo sino el servicio
de hosting que fue contratado para subir el sitio web.
En este caso se debería informar a los
responsables del servidor para que realicen una exploración y eliminen
el código malicioso. Luego del proceso antes mencionado, se debería
volver a subir los archivos correspondientes y así el sitio web estaría
disponible para los usuarios.
2. Infección al equipo o compañía de desarrollo del sitio web
En este escenario el daño que el código malicioso lograría es aún mayor que en el caso anterior. ¿Por qué? Porque el ransomware
cifraría todo el proyecto junto con los archivos de la empresa
desarrolladora del sitio web, y en caso de que no se tuviera un respaldo
o backup de la información secuestrada, el daño sería crítico.
Ante amenazas como este ransomware que apunta a servidores web,
lo necesario es contar con una solución de seguridad antivirus,
protocolos y procesos de seguridad adecuados y un backup diario de la
información sensible. Por otro lado, como siempre afirmamos, no es aconsejable pagar el rescate, aunque el FBI diga lo contrario.
Fuente;
No hay comentarios:
Publicar un comentario