Исследователи обнаружили новый шифровальщик Lilu (Lilocked), который с июля атакует веб-серверы под управлением Linux. Преступники блокируют служебные файлы на взломанных хостах, оставляя саму систему в рабочем состоянии.
Особенности атак Lilu:
Эксперты не могут определить, как зловред попадает на сервер. Среди возможных точек входа назывались уязвимости CMS WordPress и почтового клиента Exim. Специалисты смогут сделать точный вывод, только получив в свои руки образец Lilu, чего на момент публикации не произошло.
Для шифрования вымогатель применяет алгоритм AES, заблокированные файлы получают расширение *.lilocked. В каждой обработанной папке зловред оставляет записку, где жертву направляют на сайт в сети Tor для оплаты выкупа. По разным данным, злоумышленники требуют 0,01–0,03 BTC (6,8–20 тыс. рублей по курсу на день публикации).
Главная особенность Lilu — выбор объектов для шифрования: зловред интересуется файлами с расширениями HTML, SHTML, JS, CSS, PHP, INI, а также файлами изображений. Этот набор целей позволил аналитикам предположить, что вымогатель создан специально для атак на веб-серверы.
Ущерб от активности Lilu:
Эксперты оценивают число жертв Lilu в 6–7 тыс. серверов. Такие выводы они делают по результатам поиска в Google, содержащим ссылки на документы с требованием выкупа, — поскольку зловред не трогает системные файлы, зараженные хосты остаются доступны.
В то же время специалисты допускают, что реальные масштабы заражения гораздо больше, поскольку применение Linux не ограничивается веб-серверами, а из последних далеко не все индексируются Google.
В отсутствие достоверных данных о векторах атак Lilu администраторам Linux рекомендуют установить на своих системах сильные пароли и обновить используемое ПО.
В августе от атаки неизвестного шифровальщика пострадали более 20 государственных организаций в Техасе. Злоумышленники потребовали выкуп в $2,5 млн, однако власти предпочли устранить последствия атаки самостоятельно.
Источник: https://threatpost.ru/new-lilu-ransomware-spotted-targeting-linux-servers/34017/