LiLocked ransomware, ook bekend als LiLu, is weer actief in campagnes, dit keer die duizenden webservers. Dit is een nieuwe stam van de LiLocked ransomware die schreven we over in juli van dit jaar.
LiLocked Ransomware Momenteel Gericht op Linux-gebaseerde systemen
Volgens security onderzoekers, de ransomware is momenteel uitsluitend is gericht op Linux-gebaseerde systemen, maar de wijze van besmetting is nog onbekend. Volgens informatie gespot op een Russisch forum, de ransomware ondernemer kan worden gericht op systemen die werken met verouderde Exim software.
In feite, Exim kwetsbaarheden worden vaak doelwit van aanvallers, zoals blijkt uit een aantal recente gevallen. Een voorbeeld van zo'n aanval geprobeerd om gerichte Exim servers te infecteren met het zogenaamde Watchbog Linux Trojan. Geïnfecteerde gastheren werd een deel van een botnet die werd mijnbouw voor Monero cryptogeld.
Voor het onderhavige geval, Het is zeer goed mogelijk de ransomware erin slaagt om root-toegang tot besmette servers krijgen. Geïnfecteerde servers hebben hun bestanden versleuteld, en hebben de .lilocked bestandsextensie. Het is belangrijk op te merken dat de ransomware niet systeembestanden heeft versleutelen. Plaats, versleutelt HTML, SHTML, JS, CSS, PHP, INI-bestanden, evenals en verschillende image file formats. Dit feit betekent dat de gecompromitteerde servers blijven normaal lopen.
Er kunnen meer dan 6,700 servers versleuteld door LiLocked, volgens security-onderzoeker bekend als Benkow op Twitter. Het werkelijke aantal geïnfecteerde hosts is het meest waarschijnlijk veel groter.