Un nuevo tipo de variante de ransomware llamado Lilocked (o Lilu) se ha dirigido a servidores basados en Linux que al cifrar archivos almacenados en ellos, les añade la extensión .lilocked. Los ataques han estado ocurriendo desde mediados de julio y se han intensificado en las últimas dos semanas. La nueva cepa fue reportada por primera vez a fines de julio por el investigador de malware Michael Gillespie después de que una muestra se haya subido a su servicio ID Ransomware. Actualmente, parece que el ransomware Lilocked se dirige sólo a sistemas basados en Linux.
Por el momento no está claro cómo exactamente los operadores de Lilocked infectan a sus víctimas. Algunos usuarios en el foro de habla rusa especularon que los piratas informáticos han apuntado a sistemas que ejecutan versiones obsoletas del software Exim. Un hilo también menciona que el ransomware de alguna manera logró obtener acceso raíz a los servidores.
El ransomware cifra los archivos y agrega la extensión .lilocked al nombre del archivo, luego suelta una nota de rescate llamada # README.lilocked. La nota de rescate instruye a las víctimas sobre cómo hacer un pago a través de un portal de pago Tor y también proporciona una clave para iniciar sesión en el sitio de pago. Una vez que la víctima inicia sesión en el portal muestra la segunda nota de rescate pidiendo a los usuarios 0.03 bitcoin (aproximadamente $ 306 al momento de la escritura) a cambio de la clave de cifrado.
La buena noticia es que Lilocked no cifra los archivos del sistema, sino solo un pequeño subconjunto de extensiones de archivos como HTML, JS, CSS, PHP, INI, SHTML y todos los formatos de imagen. Según los investigadores, Lilocked ha encriptado más de 6,700 servidores, y muchos de ellos han sido indexados y almacenados en caché en los resultados de búsqueda de Google. Sin embargo, se sospecha que el número de víctimas podría ser mucho mayor.
Fuente: https://www.cybersecurity-help.cz/blog/672.html
