Nueva variante de ransomware que ataca a servidores web Linux
Este ransomware cifra los ficheros necesarios para el desarrollo de una página web, lo que se ha denominado ransomweb. Aunque aún no ha afectado a demasiados servidores web Linux, representa un peligro real que puede propagarse rápidamente.
- Android 6.0 Marshmallow pone trabas al ransomware
- Primer ransomware para Android que cambia el código PIN del móvil
- Prevención, detección y reacción, claves para combatir el ransomware
- El auge del ransomware subraya la importancia de las copias de seguridad
- El 80% de las compañías que utilizan Linux lo ven como el sistema operativo más fiable
El ransomware está a la orden del día. Pero si con las variantes que afectan a sistemas Windows y Android no fueran suficientes, se ha descubierto recientemente un ejemplar que afecta a servidores webs basados en Linux.
Según señalan desde ESET, el hallazgo lo han realizado investigadores de Dr. Web. Al parecer, al igual que otros ejemplares de ransomware, éste se aprovecha de vulnerabilidades del servidor web o de los programas utilizados por el webmaster para secuestrar los ficheros que componen una web, lo que se conoce como Ransomweb. El malware cifra los ficheros necesarios para el desarrollo de una página web, borrando los ficheros originales una vez han sido cifrados y cambiando la extensión a .encrypt. En esta ocasión, el cifrado utilizado es un RSA AES de 2048 bits, y para proceder al descifrado exige a sus víctimas el pago de 1 bitcoin (unos 360 euros en la actualidad) a través de la red Tor.
Lo novedoso de este ransomware es que ataca a un sistema operativo que se había mantenido al margen hasta el momento y que, a diferencia de otros que cifran casi cualquier tipo de fichero, cifra archivos en carpetas que suelen ser utilizadas para almacenar la información que se muestra a los visitantes de una web. Además, también busca extensiones de ficheros utilizados en el desarrollo web, tales como . php, .html, .js, .css o .xml, además de extensiones más comunes como . pdf, .jpg, .7z o .avi, afectando así tanto a ficheros incrustados en la web secuestrada como aquellos que el webmaster almacenase en el servidor.
Esta amenaza, detectada por las soluciones de ESET como Linux/Filecoder.A, aún no ha afectado a demasiados servidores web Linux pero representa un serio peligro que puede propagarse si no se toman las medidas adecuadas, empezando por mantener una política de actualizaciones eficaz y disponer de una copia de seguridad lo más actualizada posible, para poder restaurar los ficheros de la web afectada en el menor tiempo posible.
“Somos conscientes de la existencia de muchos servidores web basados en Linux alrededor de todo el mundo que están sin parchear y esta alerta debería servir para que muchos administradores tomen cartas en el asunto y actualicen sus sistemas antes de que se vean afectados”, señala Josep Albors, del laboratorio de ESET.
