los usuarios y los administradores de Linux se les aconseja estar atentos como se supo la noticia de un ransomware peligroso atacarlos. Se llama el ransomware Lucky y se despliega en una campaña global de ataque con el comportamiento típico de archivos de cifrado como las numerosas variantes conocidas para Windows. La amenaza puede infectar a otras máquinas de forma automática y así acabar con las redes enteras en un corto período de tiempo.
Actúa como ransomware suerte “Satán” Para Windows
El ransomware suerte es la nueva amenaza de orientación servidores Linux, detalles acerca de su estallido fue publicada en una anuncio por un equipo de investigadores. Los expertos señalan que sigue de cerca el comportamiento de las amenazas basadas en Windows de este tipo. La campaña de ataque en curso demuestra que esta práctica se ha llevado con éxito a los sistemas Linux.
Análisis del código fuente y el modo de la propagación de muestra que es multiplataforma, lo que significa que los futuros cambios a lo que realmente podrían ser utilizados en máquinas Windows, así si se compila para el sistema operativo de Microsoft. De acuerdo con el análisis es muy similar a la ransomware Satanás usa para infectar las máquinas de Windows.
Para infectar los equipos de destino del ransomware Lucky utiliza una serie de vulnerabilidades:
- CVE-2013-4810 - Se trata de una serie de exploits que se identifican en HP ProCurve Manager (PCM) 3.20 y 4.0, PCM + 3.20 y 4.0, Identity Driven Manager (IDM) 4.0, y gestión del ciclo de vida de aplicaciones que permite a los atacantes ejecutar código arbitrario.
- CVE-2010-0738 - Este es un problema descubierto en la aplicación web JMX-consola en JBossAs en Red Hat JBoss Enterprise Application Platform (también conocido como JBoss EAP o JBEAP) 4.2 antes y 4.2.0.CP09 4.3 antes 4.3.0.CP08 cuales realiza el control de acceso sólo para los métodos GET y POST. Esto permite de manera efectiva a los usuarios maliciosos para realizar ataques de forma remota.
- CVE-2017-12615 - Cuando se ejecuta Apache Tomcat 7.0.0 a 7.0.79 en Windows con PUT HTTP habilitado (por ejemplo. a través de la configuración del parámetro de inicialización de sólo lectura del defecto a false) fue posible cargar un archivo JSP en el servidor a través de una solicitud especialmente diseñada. Este JSP podría entonces ser solicitado y el código que contenga sería ejecutado por el servidor.
- Un inicio de sesión Tomcat consola de administración web contraseñas de ataque de fuerza bruta que permite el acceso al servicio.
- CVE-2017-10271 - Se trata de una vulnerabilidad en el componente de servidor Oracle WebLogic: Las versiones compatibles que son afectados son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 y 12.2.1.2.0. Intrusiones pueden dar lugar a la toma de control del servidor.
- MS17-010 - Este es un parche que fue lanzado para las versiones más recientes de Windows atenuantes infecciones ransomware WannaCry. Escribimos una [wplinkpreview url =”https://sensorstechforum.com/top-5-wannacry-ransomware-mitigations/”]detallado artículo al respecto.
- Apache Struts 2 Explota marco de aplicación web - Este es el grande y [wplinkpreview url =”https://sensorstechforum.com/cve-2017-5638-patched-attack/”]conocido incidente de seguridad que abarcaba varios servidores web en todo el mundo. Un parche fue lanzado en marzo 2017 sin embargo, esto no impidió que los ataques.
Tan pronto como los anfitriones se han comprometido la escritura de la infección desplegará automáticamente el ransomware.
Operación ransomware suerte: El proceso de infección
Tan pronto como se inicia el módulo de ransomware que empieza a cifrar archivos de datos de usuario. La primera acción que hace es leer el /tmp / Ssession expediente. Contiene información sobre la actividad temporal utilizado por varios componentes de servidor (por lo general los servicios web). Una práctica habitual es fijar una fecha de caducidad para ellos. Cuando son leídos por el motor de la infección se mostrará el virus de los datos de acceso en el plazo establecido.
Los archivos de sistema que se indican serán procesados por el motor de cifrado y renombrado con la extensión .lucky. El análisis de código fuente muestra que una lista de excepciones también está disponible que ignora los lugares importantes del sistema. Si se ven afectados a continuación, el sistema puede dejar de funcionar por completo. Los datos de destino se identificó para incluir las siguientes extensiones de archivo:
detrás, cremallera, sql, mdf, LDF, mundo, vendido, dmp, xls, doc,
txt, ppt, csv, rtf, pdf, db, vdi, vmdk, vmx, toma,
gz, pem, pfx, cer y libras por pie cuadrado
Una nota ransomware se genera en un archivo llamado _How_To_Decrypt_My_File_.txt que lee el mensaje siguiente:
Siento tener que decirle.
Algunos archivos se ha encriptado
si desea que los archivos de nuevo , enviar 1 Bitcoin a mi cartera
mi dirección de cartera: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
Si tienes alguna pregunta, por favor contáctenos.
Email: nmare@cock.li
Una característica interesante es que esta nota ransomware también se coloca en el MOTD (mensaje del día) que se muestra a todos los usuarios que inician sesión en la máquina Linux. Cuando el cifrado se ha completado el módulo buscará otras anfitriones ubicados en la red local e intentar infectarlos.
Si el ransomware suerte tiene éxito en sus tácticas de infección anticipamos que una versión basada en Windows de que podría ser desarrollado. A medida que su comportamiento se basa en Satanás esperamos que podría seguir el mismo RaaS (ransomware-as-a-service) modelo.