LiLocked ransomware, også kendt som LiLu, er igen aktiv i kampagner, denne gang påvirker tusindvis af webservere. Dette er en ny stamme af den LiLocked ransomware som vi skrev om i juli i år.
LiLocked Ransomware øjeblikket Målretning Linux-baserede systemer
Ifølge sikkerhedseksperter, den ransomware er i øjeblikket rettet mod kun Linux-baserede systemer, men metoden til infektion er stadig ukendt. Ifølge oplysninger spottet på en russisk forum, de ransomware operatører kunne målrette systemer, der kører forældet Exim software.
Faktisk, Exim sårbarheder er ofte rettet af angribere, som tydeligt ved adskillige nylige sager. Et sådant angreb forsøgt at inficere målrettet Exim servere med den såkaldte Watchbog Linux Trojan. Inficerede værter blev en del af et botnet som blev minedrift for Monero cryptocurrency.
Med hensyn til den aktuelle sag, det er meget muligt at ransomware formår at få root-adgang til inficerede servere. Inficerede servere har deres filer krypteret, og har den .lilocked filtypen. Det er vigtigt at bemærke, at ransomware ikke kryptere systemfiler. I stedet, det krypterer HTML, shtml, JS, CSS, PHP, INI-filer, samt og flere billede filformater. Dette faktum betyder, at de kompromitterede servere fortsætte med at køre normalt.
Der kan være mere end 6,700 servere krypteret af LiLocked, i henhold til sikkerhed forsker kaldet Benkow på Twitter. Det faktiske antal inficerede værter er mest sandsynligt meget større.