Linux, víctima de un ransomware, un nuevo malware dirigido servidores que corren servicios LAMP

Linux, víctima de un ransomware, un nuevo malware dirigido a servidores Linux.

ransomware-kavUn ransomware es un tipo de programa que puede acceder a nuestro ordenador para bloquearlo parcial y totalmente. Lo hace cifrando nuestros archivos para que no podamos acceder a ellos al menos que pequemos el rescate. Además, los expertos en seguridad tampoco aconsejan que se pague el rescate, ya que no hay manera de saber si después se nos devolverá el acceso a los archivos.

En primer lugar hay que tener claro que dicho ataque no afecta estaciones de trabajo bajo plataforma Linux si no que afecta a los servidores que corren servicios LAMP

¿Qué tipo de archivos se ven afectados?

Este virus fue bautizado ‘Linux.Encoder.1’ por la firma rusa de antivirus Dr.Web. su función es filtrarse en las páginas web a través de las vulnerabilidades de sus plugins o algunos de los programas utilizados por los webmasters, y cifra los archivos pertenecientes a las carpetas webapp, www, public_html y backup presentes en los servidores y de las páginas.

Por lo general, una vez infectada la máquina el malware cifrará directorios o archivos y pedirá un rescate por ellos, Por lo tanto, caer víctima de un ransomware serio significa una perdida de información al menos que realices diferentes copias de seguridad.

¿Cómo ataca Linux.Encoder.1?

Linux.Encoder.1 cifraría archivos localizados en los directorios, para lo cual realizaría un escaneo recurrente de todas las rutas posibles a partir de la raíz del sistema. Solo servirían copias de seguridad remota o, con algo de suerte, bien escondidas. El malware cifraría asimismo un buen montón de archivos por tipo de extensión que abarcan desarrollo web, multimedia, oficina, archivos comprimidos entre otros.

En cada directorio afectado se agregaría una nota en texto plano para cumplir con el rescate de 1 bitcoin, que ahora ronda un valor en torno a los 300 euros.

¿Qué tipo de archivos se ven afectados?

Este ransomware busca cifrar archivos pertenecientes a las carpetas home, root, MySQL, Apache, git, svn, webapp, www, public_html y backup, que normalmente están presentes en los servidores y contienen la mayor porción de información que un visitante utiliza.

Posibles escenarios de infección del ransomware Linux

  1. 1. Infección al servidor en donde se encuentra el sitio web

En caso de que el código malicioso haya logrado infectar al servidor en donde se encuentra la versión estable del sitio web, el daño que se va reflejar a simple vista es la imposibilidad de ingresar al mismo, yaCriptoNoticias-Ransomware-Linux-Administradores-Sitios-Web-500x334 que no se podrán leer los archivos. Podríamos decir que el daño no lo tendría el equipo de desarrollo sino el servicio de hosting que fue contratado para subir el sitio web.

En este caso se debería informar a los responsables del servidor para que realicen una exploración y eliminen el código malicioso. Luego del proceso antes mencionado, se debería volver a subir los archivos correspondientes y así el sitio web estaría disponible para los usuarios.

  1. Infección al equipo o compañía de desarrollo del sitio web

En este escenario el daño que el código malicioso lograría es aún mayor que en el caso anterior. Ya que el ransomware cifraría todo el proyecto junto con los archivos de la empresa desarrolladora del sitio web, y en caso de que no se tuviera un respaldo o backup de la información secuestrada, el daño sería crítico.

Ante amenazas como este ransomware que apunta a servidores web, siempre es necesario contar con excelentes soluciones de seguridad y antivirus así como también ser lo suficientemente prudentes como para haber ido realizando backups de nuestro trabajo continuamente.

Fuente:

http://bit.ly/20M1ZHJ

http://bit.ly/1iTye5A

http://bit.ly/1NJPCXl



W3Counter


VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.