Ένα νέο ransomware χρησιμοποιήθηκε από hackers για την πραγματοποίηση επιθέσεων σε χιλιάδες web servers. Το ransomware ονομάζεται Lilocked ή Lilu και έχει ήδη κρυπτογραφήσει χιλιάδες αρχεία.
Σύμφωνα με πληροφορίες, οι hackers που κρύβονται πίσω από το Lilocked ransomware έχουν ξεκινήσει τις επιθέσεις από τα μέσα Ιουλίου. Ωστόσο, τις δύο τελευταίες εβδομάδες οι επιθέσεις έχουν γίνει πιο συχνές.
Με βάση τα στοιχεία που υπάρχουν μέχρι τώρα, το Lilocked ransomware στοχεύει μόνο Linux συστήματα.
Όπως είπαμε και παραπάνω, οι πρώτες επιθέσεις έγιναν στα μέσα Ιουλίου. Η υπόθεση έγινε γνωστή από το ID Ransomware, ένα site που βοηθά τα θύματα να μάθουν το όνομα του ransomware που έχει μολύνει τον υπολογιστή τους. Κάποια από τα θύματα του Lilocked δημοσίευσαν στο site το μήνυμα που είχαν στείλει οι hackers και ζητούσαν λύτρα. Έτσι, έγινε γνωστό το νέο ransomware.
Οι ερευνητές δεν έχουν προσδιορίσει ακόμα τον τρόπο με τον οποίο οι hackers παραβιάζουν τους servers και κρυπτογραφούν τα δεδομένα. Κάποιοι υποστηρίζουν ότι μπορεί να στοχεύουν συστήματα με μη ενημερωμένο Exim software.
Επίσης, λέγεται ότι το ransomware έχει αποκτήσει πρόσβαση με προνόμια διαχειριστή.
Οι servers που έχουν μολυνθεί από το Lilocked ransomware ξεχωρίζουν από άλλους, καθώς τα περισσότερα αρχεία τους είναι κρυπτογραφημένα και εμφανίζουν μια νέα “.lilocked” επέκταση αρχείου:
Οι hackers έχουν τοποθετήσει ένα αντίγραφο του μηνύματος των λύτρων (# README.lilocked), σε όλους τους φακέλους που έχουν κρυπτογραφημένα αρχεία.
Οι χρήστες μεταφέρονται σε ένα portal στο dark web. Στο μήνυμα των λύτρων, υπάρχει ένα «κλειδί» το οποίο πρέπει να χρησιμοποιήσουν οι χρήστες. Σε αυτό το σημείο, οι hackers ζητούν και άλλα χρήματα (0,03 bitcoin, δηλαδή περίπου $ 325).
Σύμφωνα με τα στοιχεία που υπάρχουν ως τώρα, το Lilocked ransomware δεν επηρεάζει αρχεία συστήματος. Κρυπτογραφεί μόνο ένα μικρό υποσύνολο επεκτάσεων αρχείων, όπως HTML, SHTML, JS, CSS, PHP, INI και διάφορα image file formats.
Από τη στιγμή που δεν επηρεάζονται τα αρχεία συστήματος, οι μολυσμένοι servers συνεχίζουν να λειτουργούν κανονικά. Το Lilocked ransomware έχει μολύνει περισσότερους από 6,700 servers.
Δυστυχώς, δεν υπάρχουν σίγουρες πληροφορίες για το πώς καταφέρνουν οι hackers να μολύνουν τους servers. Έτσι, δεν μπορούν να δοθούν να συγκεκριμένες οδηγίες στους κατόχους των servers για το τι να προσέξουν. Ισχύουν οι γενικές συμβουλές, όπως η χρήση μοναδικών κωδικών πρόσβασης σε διαφορετικούς λογαριασμούς και η τακτική ενημέρωση όλων των συστημάτων και εφαρμογών.