Problem na serwerach z Linuksem. Wirus Lilu szyfruje dane
Od pewnego czasu znaczna część linuksowych serwerów musi mierzyć się z nowym zagrożeniem. Złośliwe oprogramowanie nazywane Lilu lub Lilocked szyfruje kod, a następnie wysyła ofiarom ataku żądania okupu. Dostęp do utraconych danych można odzyskać za 0,03 bitcoina. Całkowita skala zagrożenia jest nieznana, podobnie jak dokładny sposób, w jaki intruzi wdzierają się na serwery.
Spis treści
Złośliwa Lilu
Jak poinformował serwis ZDNet, przynajmniej 6700 serwerów zainfekowano złośliwym oprogramowaniem o nazwie Lilu (alternatywnie: Lilocked). Jak to zazwyczaj bywa, proceder umożliwiają niewystarczające zabezpieczenia. Od połowy lipca cyberprzestępcy włamują się na uruchomione na Linuksie serwery, które mają problem z zabezpieczeniami, a następnie szyfrują znajdujący się na nich kod, by na końcu wysyłać ofiarom w zaszyfrowanych plikach żądanie okupu zawierające przekierowanie na specjalne strony w darkwebie. Odblokowanie kodu jest możliwe, ale oczywiście odbywa się za pewną opłatą. Tym razem za uwolnienie przywłaszczonych zasobów hakerzy żądają 0,03 bitcoina, czyli równowartość około 1100 złotych. Według informacji, do których dotarł ZDNet, ataki przy użyciu Lilocked nasiliły się w ciągu ostatnich dwóch tygodni.
Linux na celowniku
Nie jest pewne, w jaki sposób cyberprzestępcy włamali się na serwery, ale z jakichś powodów za cel wybrali sobie Linuksa, a przynajmniej wskazują na to dotychczas zebrane dowody. Całkiem interesująca jest teoria przedstawiona na jednym z rosyjskojęzycznych for internetowych, zgodnie z którą oszuści mogą atakować systemy z zainstalowanym przestarzałym klientem poczty o nazwie Exim. Niestety kompletnie nie wiadomo, w jaki sposób ransomware uzyskało dostęp do roota serwerów.
Na szczęście łatwo wykryć serwery, które zostały zainfekowane złośliwym oprogramowaniem. Można poznać je po tym, że większość dostępnych na nich plików jest zaszyfrowana i ma nowe rozszerzenie “.lilocked”. Dodatkowo w każdym folderze, w którym ransomware szyfruje pliki, dostępna jest kopia pliku z żądaniem okupu. Klucz skopiowany z tego miejsca wprowadzany jest na wspomnianej już stronie w darkwebie, w wyniku czego zostaje wyświetlana treść żądania.
Dokładna skala nieznana
Co ciekawe, Lilocked nie szyfruje plików sysemowych, a jedynie stosunkowo niewielkie podzbiory rozszerzeń plików takich jak HTML, SHTML, JS, CSS, PHP, INI, a także różne rozszerzenia plików graficznych. To znaczy, że zainfekowane serwery nadal działają normalnie. Według ustaleń francuskiego badacza zabezpieczeń cyfrowych Bekowa wiele spośród ponad 6700 serwerów zainfekowanych przez Lilu zostało zindeksowanych i zapisanych w pamięci podręcznej w wynikach wyszukiwania Google.
Może się jednak okazać, że liczba zainfekowanych serwerów znacznie przekracza 6700, a to dlatego, że nie wszystkie linuksowe systemy działają na serwerach internetowych, a poza tym istnieje wiele innych zainfekowanych systemów, które nie zostały zindeksowane przez przeglądarkę Google. A ponieważ póki co nie wiadomo, którędy intruzi dostają się do systemów, pozostaje tylko ograniczyć się do ogólnych porad dotyczących bezpieczeństwa: zachęciania do używania unikatowych haseł dla wszystkich kont oraz aktualizowania aplikacji za pomocą najnowszych poprawek bezpieczeństwa.
Źródło: zdnet.com. Zdjęcie główne artykułu pochodzi z unsplash.com.