Les chercheurs repèrent un nouveau ransomware ciblant les serveurs basés sur Linux.
Des milliers de serveurs Web ont été infectés et leurs fichiers ont été cryptés par une nouvelle souche de ransomware nommée Lilocked (ou Lilu).
Les infections surviennent depuis la mi-juillet et se sont intensifiées au cours des deux dernières semaines, a appris ZDNet.
D'après les preuves actuelles, le ransomware Lilocked semble cibler uniquement les systèmes basés sur Linux.
Les premiers rapports datent de la mi-juillet, après que certaines victimes ont téléchargé la demande/demande de rançon Lilocked sur ID Ransomware, un site Web permettant d'identifier le nom du ransomware qui a infecté le système d'une victime.
#Rançongiciel Chasse: extension ".lilocked", note "#LISEZMOI.lilocké" - https://t.co/cvaSXon1nNpic.twitter.com/mc2m8rsDFR
-Michael Gillespie (@demonslay335) 20 juillet 2019
La manière dont le gang Lilocked pirate les serveurs et chiffre leur contenu est actuellement inconnue. Un fil de discussion sur un forum russophone
avance la théorie selon laquelle les escrocs pourraient cibler les systèmes exécutant un logiciel Exim (e-mail) obsolète. Il mentionne également que le ransomware a réussi à obtenir un accès root aux serveurs par des moyens inconnus.Les serveurs touchés par ce ransomware sont faciles à repérer car la plupart de leurs fichiers sont cryptés et portent une nouvelle extension de fichier « .lilocked » – voir l'image ci-dessous.
Une copie de la demande de rançon (nommée #README.lilocked) est disponible dans chaque dossier où le ransomware crypte les fichiers.
Les utilisateurs sont redirigés vers un portail sur le dark web, où ils sont invités à saisir une clé figurant dans la demande de rançon. Ici, le gang Lilocked affiche une deuxième demande de rançon, demandant aux victimes 0,03 bitcoin (environ 325 dollars).
Lilocked ne crypte pas les fichiers système, mais seulement un petit sous-ensemble d'extensions de fichiers, telles que HTML, SHTML, JS, CSS, PHP, INI et divers formats de fichiers image.
Cela signifie que les serveurs infectés continuent de fonctionner normalement. Selon un chercheur français en sécurité Benkow, Lilocked a chiffré plus de 6 700 serveurs, dont beaucoup ont été indexés et mis en cache dans les résultats de recherche Google.
Cependant, le nombre de victimes semble bien plus élevé. Tous les systèmes Linux n'exécutent pas de serveurs Web et de nombreux autres systèmes infectés n'ont pas été indexés dans les résultats de recherche Google.
Le point d'entrée initial de cette menace restant un mystère, il est impossible de fournir autre chose que des conseils de sécurité génériques. propriétaires de serveurs – à qui il est conseillé d'utiliser des mots de passe uniques pour tous leurs comptes et de maintenir les applications à jour en matière de sécurité des correctifs.
Le gang Lilocked n'a pas répondu à une demande de commentaire envoyée à l'adresse e-mail indiquée dans la demande de rançon.
Le malware APT (développé par l'État) le plus célèbre et le plus dangereux au monde
Sécurité
- 8 habitudes des travailleurs à distance hautement sécurisés
- Comment trouver et supprimer les logiciels espions de votre téléphone
- Les meilleurs services VPN: comment se comparent les 5 meilleurs?
- Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite