Lilu: un altro ransomware per il povero Linux

3

Ogni tanto ne salta fuori qualcuno e, purtroppo, come spesso accade ne veniamo a conoscenza troppo tardi. Basta fare una breve ricerca sul nostro portale per vedere che, sia che siano indirizzati a specifici device che più genericamente a specifiche feature, Linux non è esente dai ransomware ed anzi, con la sua diffusione -specialmente nei sistemi embedded e IoT- è oramai tra i bocconi più golosi dei malintenzionati.

Questa volta è il caso di Lilu -a volte chiamato anche Lilocked– che, da metà Luglio ad oggi con un’accelerata nelle ultime due settimane, pare abbia infettato migliaia di server Linux in giro per la rete. Il tutto al fine di ottenere un’accesso come root al server grazie a versioni obsolete del software Exim.

Come sempre il comportamento, una volta compromessa la macchina, è quello dei classici ransomware: i file vengono criptati e bloccati con estensione “.lilocked” ed una nota recita:

I’ve encrypted all your sensitive data!!! It’s a strong encryption, so don’t be naive to restore it;)

Ho criptato tutti i tuoi dati sensibili!!! E’ una crittografia forte, quindi non cercare ingenuamente di ripristinarli 😉

Una volta fatto click sul link ottenuto viene richiesto di inserire la chiave (presente nelle note) e di versare 0.03 bitcoin o 325 dollari nel portafoglio Electrum per avere i propri file decrittati.

La cosa interessante è che questo ransomware non infetta file di sistema, ma solo file con estensioni HTML, SHTML, JS, CSS, PHP, INI ed i più comuni formati di immagini (come JPG e PNG); per via di questo comportamento il sistema risulta perfettamente funzionante e ci si accorge della presenza del software malevolo solo in fase di accesso ai file in questi formati.

Stando a Benkow, un ricercatore di sicurezza francese, Lilu ha attualmente infettato correttamente 6700 server, la maggior parte dei quali sono indicizzati nei risultati di ricerca di Google, anche se probabilmente il numero è più elevato; ma il problema più grosso qual’è?

Semplice, che al momento non è stato ancora identificato come questo ransomware infetta i sistemi, motivo per cui non è ancora presente un’avviso di sicurezza riguardo allo stesso.

Password forti ed update costanti in attesa delle patch che risolveranno definitivamente la cosa dunque, quindi il nostro consiglio rimane sempre lo stesso: aggiornate, aggiornate aggiornate!

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.