Linux ransomware en linux Lilu

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.958
Cabros me encontré con esta noticia

C&P

https://blog.desdelinux.net/lilu-nuevo-ransomware-infecta-miles-de-servidores-basados-en-linux/

Lilu se trata de un nuevo ransomware que también se le conoce con el nombre de Lilocked y que tiene como objetivo infectar servidores basados en Linux, algo que ha conseguido con éxito. El ransomware comenzó a infectar servidores a mediados del pasado mes de julio, pero en las últimas dos semanas los ataques han empezado a ser más frecuentes. Mucho más frecuentes.

El primer caso conocido del ransomware Lilocked salió a la luz cuando un usuario subió una nota a ID Ransomware, una web creada para identificar el nombre de este tipo de software malicioso. Su objetivo son los servidores y conseguir acceso root en los mismos. El mecanismo que usa para conseguir ese acceso aún es desconocido. Y lo malo es que ahora, menos de dos meses después, se ha sabido que Lilu ha infectado miles de servidores basados en Linux.


Lilu ataca servidores Linux para conseguir acceso root
Lo que hace Lilocked, algo que podemos intuir por su nombre, es bloquear. Para ser más concretos, una vez el servidor ha sido atacado con éxito, los archivos se bloquean con una extensión .lilocked. Dicho de otro modo, el software malicioso modifica los archivos, les cambia la extensión a .lilocked y quedan totalmente inservibles… a no ser que se pague para restaurarlos.

Además de cambiar la extensión de los archivos, también aparece una nota que dice (en inglés):

“¡¡¡He cifrado todos tus datos sensibles!!! Es un cifrado fuerte, así que no seas ingenuo intentando restaurarlo ;)

Una vez se hace clic en el enlace de la nota, se redirige a una página en la dark web que pide poner la clave que hay en la nota. Cuando se añade dicha clave, se pide que se ingresen 0.03 bitcoins (294.52€) en la cartera de Electrum para que se elimine el cifrado de los archivos.

No afecta a archivos del sistema
Lilu no afecta a archivos del sistema, pero otros como los HTML, SHTML, JS, CSS, PHP, INI y otros formatos de imágenes sí pueden ser bloqueados. Esto significa que el sistema funcionará con total normalidad, solo que no se podrá acceder a los archivos bloqueados. El “secuestro” recuerda un poco al del “Virus de la policía”, con la diferencia de que aquel sí que impedía el uso del sistema operativo.

El investigador de seguridad Benkow dice que Lilock ha afectado unos 6.700 servidores, la mayoría de ellos se almacenan en caché en los resultados de búsqueda de Google, pero podría haber más afectados que no están indexados por el famoso buscador. En el momento de escribir este artículo y como hemos explicado, no se conoce el mecanismo que usa Lilu para funcionar, por lo que no hay ningún parche que aplicar. Sí se recomienda que usemos contraseñas fuertes y que mantengamos el software siempre bien actualizado.

Se supone que el ramsonware consigue acceso root y aún no saben como, hasta el momento hay mas de 6000 servidores infectados.

https://www.notebookcheck.net/Lilu-...cted-thousands-of-Linux-servers.434547.0.html
https://noticiasseguridad.com/malware-virus/lilu-una-nueva-y-peligrosa-variante-de-ransomware/
https://www.zdnet.com/article/thousands-of-servers-infected-with-new-lilocked-lilu-ransomware/
https://www.seguridadyfirewall.cl/2019/09/el-ransomware-lilocked-llega-miles-de.html
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
ctm.

Puta, la base de datos de conocimiento de RedHat no dice nada al respecto.
 
Upvote 0

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
No saben aún como gana acceso. Pero sí que ha infectado servidores expuestos a internet, encriptando los archivos php, js y html. Se me hace una vulnerabilidad 0d de apache o algún manejador de contenido.

-----
Me corrijo, vulnerabilidades de EXIM y wordpress sin actualizar :zippy
https://www.openwall.com/lists/oss-security/2019/09/04/1
https://www.reddit.com/r/linux/comments/d0k9j4/thousands_of_servers_infected_with_new_lilocked/

https://www.cybersecurity-insiders.com/lilocked-ransomware-hits-linux-servers/
Marian Wozniak from F-Secure reported that the hackers are gaining access to Linux based web servers by using Exim exploit and outdated WordPress installations.
 
Última modificación:
Upvote 0

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.958
ctm.

Puta, la base de datos de conocimiento de RedHat no dice nada al respecto.
ya tenemos cve

https://access.redhat.com/security/cve/cve-2019-15846

Exim before 4.92.2 allows remote attackers to execute arbitrary code as root via a trailing backslash.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15846

por lo que vimos acá en la pega, usualmente los que venden y usan sitios con wordpress, de esos que valen como 5 USD mensuales y están configurados con exim del año del hilo negro y como esos servers están expuestos a internet PAF! les quedo la escoba.
 
Upvote 0

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Upvote 0

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
ya tenemos cve

https://access.redhat.com/security/cve/cve-2019-15846



http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15846

por lo que vimos acá en la pega, usualmente los que venden y usan sitios con wordpress, de esos que valen como 5 USD mensuales y están configurados con exim del año del hilo negro y como esos servers están expuestos a internet PAF! les quedo la escoba.
Eso mismo. Como puse mas arriba, exim del año del @senbe y wordpress sin parchar :yao
 
Upvote 0

yakko

pingüino mal genio
Se incorporó
24 Agosto 2004
Mensajes
16.883
que es terrible cuántico!

hay que ver cual es el caso específico, no uso exim si que no tengo claro bien como está empaquetado y como corre el servicio, pero para que pueda ejecutar código como root solo hay 3 posibilidades,

1) corre con el usuario root, al levantar el servicio, lo hace usando directamente el usuario root, y ningún daemon debe correr como root, esto sería una falla de seguridad muy grande y burda
2) existe un suid mal implementado y a través de este puede escalar privilegios y ejecutar código, esto se puede evitar con una buena configuración del servidor.
3) tiene un sudo "a la ubuntu" (con permisos totales).

Igual me parece curioso que puedan tomar control como root y se limiten a encriptar algunos archivos simples y no archivos de sistema (hay maneras más efectivas y rentables de usar un servidor al que han atacado y del que pueden tomar control casi total , mucho más rentable que cobrar rescate por un ransonware). Además, con el listado de archivos atacados que dan, me calza más con que puedan ejecutar código como el usuario del servicio web (una falla en wordpress), ya que son sólo esos los archivos encriptados.
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.404
también tengo dudas del acceso de root
y como el alcance está enfocado en raptar los archivos de sitios web, nisiquiera es tan necesario el acceso de root, solo el permiso de escritura a las carpetas o archivos del sitio desde el proceso web y si el sitio tiene vulnerabilidades, de una u otra forma se lo van a mandar a guardar

Enviado desde mi moto g(7) plus mediante Tapatalk
 
Upvote 0

sproggle

Pro
Se incorporó
21 Febrero 2008
Mensajes
706
No es acceso root, lo único que hace es que entra a las carpetas con archivos que estén accesibles desde la web y encriptar estos.
Cualquier archivo dentro de ese servidor que no este visible a la web no se ve afectado.
Nada que con un respaldo constante de archivos en otro lado no solucione si ocurriera el problema.
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.404
No es acceso root, lo único que hace es que entra a las carpetas con archivos que estén accesibles desde la web y encriptar estos.
Cualquier archivo dentro de ese servidor que no este visible a la web no se ve afectado.
Nada que con un respaldo constante de archivos en otro lado no solucione si ocurriera el problema.
claro
se parece mucho en ese sentido a los tipicos archivos encriptados de sitios vulnerados porque no estan actualizados
 
Upvote 0
Subir