Milhares de servidores web foram infectados e tiveram seus arquivos criptografados por uma nova variedade de ransomware chamada Lilocked (ou Lilu).
As infecções estão ocorrendo desde meados de julho e se intensificaram nas últimas duas semanas. Com base nas evidências atuais, o ransomware Lilocked parece atingir apenas sistemas baseados em Linux.
Os primeiros relatórios datam de meados de julho, depois que algumas vítimas fizeram o upload da nota / demanda de resgate do Lilocked no ID Ransomware, um site para identificar o nome do ransomware que infectou o sistema da vítima.
Atualmente, a maneira como a gangue Lilocked viola servidores e criptografa seu conteúdo é desconhecida. Um tópico em um fórum de língua russa apresenta a teoria de que bandidos podem estar mirando sistemas executando software Exim (e-mail) desatualizado. Ele também menciona que o ransomware conseguiu obter acesso root aos servidores por meios desconhecidos.
Os servidores atingidos por este ransomware são fáceis de localizar porque a maioria dos arquivos é criptografada e ostenta uma nova extensão de arquivo “.lilocked” – veja a imagem abaixo.
Uma cópia da nota de resgate (denominada # README.lilocked) está disponível em cada pasta em que o ransomware criptografa arquivos.
Os usuários são redirecionados para um portal na dark web, onde são instruídos a inserir uma chave na nota de resgate. Aqui, a gangue Lilocked exibe um segundo pedido de resgate, pedindo às vítimas 0,03 bitcoin (aproximadamente US $ 325).
O Lilocked não criptografa arquivos do sistema, mas apenas um pequeno subconjunto de extensões, como HTML, SHTML, JS, CSS, PHP, INI e vários formatos de arquivo de imagem.
Isso significa que os servidores infectados continuam funcionando normalmente. Segundo o pesquisador de segurança francês Benkow, o Lilocked criptografou mais de 6.700 servidores, muitos dos quais foram indexados e armazenados em cache nos resultados de pesquisa do Google.
No entanto, suspeita-se que o número de vítimas seja muito muito maior. Nem todos os sistemas Linux executam servidores da Web e existem muitos outros sistemas infectados que não foram indexados nos resultados de pesquisa do Google.
Como o ponto de entrada inicial para esta ameaça permanece um mistério, é impossível fornecer qualquer coisa, exceto conselhos genéricos de segurança aos proprietários de servidores – que são aconselhados a usar senhas exclusivas para todas as suas contas e manter os aplicativos atualizados com patches de segurança.
A gangue Lilocked não respondeu a um pedido de comentário enviado para o endereço de e-mail listado na nota de resgate.
E Você, comente abaixo para saber se o seu servidor sofreu algum ataque recentemente.
E Não deixe de visitar: https://www.deltaservers.com.br/ para acompanhar todas as novidades que preparamos para você!
