Lilu: un altro ransomware per il povero Linux

Ogni tanto ne salta fuori qualcuno e, purtroppo, come spesso accade ne veniamo a conoscenza troppo tardi. Basta fare una breve ricerca sul nostro portale per vedere che, sia che siano indirizzati a specifici device che più genericamente a specifiche feature, Linux non è esente dai ransomware ed anzi, con la sua diffusione -specialmente nei sistemi embedded e IoT- è oramai tra i bocconi più golosi dei malintenzionati.

Questa volta è il caso di Lilu -a volte chiamato anche Lilocked– che, da metà Luglio ad oggi con un’accelerata nelle ultime due settimane, pare abbia infettato migliaia di server Linux in giro per la rete. Il tutto al fine di ottenere un’accesso come root al server grazie a versioni obsolete del software Exim.

Come sempre il comportamento, una volta compromessa la macchina, è quello dei classici ransomware: i file vengono criptati e bloccati con estensione “.lilocked” ed una nota recita:

I’ve encrypted all your sensitive data!!! It’s a strong encryption, so don’t be naive to restore it;)

Ho criptato tutti i tuoi dati sensibili!!! E’ una crittografia forte, quindi non cercare ingenuamente di ripristinarli 😉

Una volta fatto click sul link ottenuto viene richiesto di inserire la chiave (presente nelle note) e di versare 0.03 bitcoin o 325 dollari nel portafoglio Electrum per avere i propri file decrittati.

La cosa interessante è che questo ransomware non infetta file di sistema, ma solo file con estensioni HTML, SHTML, JS, CSS, PHP, INI ed i più comuni formati di immagini (come JPG e PNG); per via di questo comportamento il sistema risulta perfettamente funzionante e ci si accorge della presenza del software malevolo solo in fase di accesso ai file in questi formati.

Stando a Benkow, un ricercatore di sicurezza francese, Lilu ha attualmente infettato correttamente 6700 server, la maggior parte dei quali sono indicizzati nei risultati di ricerca di Google, anche se probabilmente il numero è più elevato; ma il problema più grosso qual’è?

Semplice, che al momento non è stato ancora identificato come questo ransomware infetta i sistemi, motivo per cui non è ancora presente un’avviso di sicurezza riguardo allo stesso.

Password forti ed update costanti in attesa delle patch che risolveranno definitivamente la cosa dunque, quindi il nostro consiglio rimane sempre lo stesso: aggiornate, aggiornate aggiornate!

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

3 risposte a “Lilu: un altro ransomware per il povero Linux”

  1. Avatar carlo coppa
    carlo coppa

    Come hai specificato il problema è una versione obsoleta di Exim, personalmente credo che per un utilizzo desktop è molto più sicuro utilizzare versioni rolling release, come la recente storia di Vlc su Ubuntu Lts insegna. Tuttavia per utilizzo server diventa più complicato, anche se possibile.

  2. Avatar Maurizio Tosetti
    Maurizio Tosetti

    Vlc ha ricevuto aggiornamenti su Ubuntu, il problema non esiste.

  3. Avatar carlo coppa
    carlo coppa

    Questo lo avevamo capito tutti, ma è problema era sorto proprio grazie a un utente di Ubuntu, che aveva verificato il bug e segnalato al team di sicurezza VLC, che dopo molti test ha realizzato che il bug non era riproducibile, alla fine si scoprì che quell’utente aveva il bug in quanto utilizzava VLC su Ubuntu 18.04 che utilizzava una vecchia versione di una libreria che aveva questo bug. Dopodiché, dopo la segnalazione ovviamente Ubuntu ha aggiornato la libreria, ma questo ci dice quanto oggi la sicurezza sulle versioni Lts sia problematica, dal momento che le versioni di librerie a applicazioni so fissate a quella release. In teoria ci dovrebbe essere backports degli aggiornamenti di sicurezza, ma è impossibile stare dietro a centinaia di applicazioni presenti nei repository, per cui solitamente viene fatto solo sulle applicazioni di default e pochi altri casi.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *