Alfonso Maruccia

Ransomware all'attacco dei server Linux

Individuata una nuova genýa di codice malevolo pensata per prendere in ostaggio i file sui server Linux, chiedendo poi un riscatto in cambio della loro decodifica. Fortunatamente il meccanismo non funziona come dovrebbe

Roma - La security enterprise russa Doctor Web (Dr.Web) ha identificato un nuovo malware per Linux chiamato Linux.Encoder.1, un trojan con funzionalità da ransomware creato con l'obiettivo specifico di criptare i file presenti su un server Linux. Il riscatto richiesto per la decodifica è tutto sommato modico, e non serve pagarlo in ogni caso visto che il codice malevolo contiene errori che ne neutralizzano del tutto la pericolosità - almeno per il momento.

Linux.Encoder.1 è in grado di infettare un server sfruttando una vulnerabilità critica nel CMS Magento divenuta di pubblico dominio e sistemata da circa una settimana, spiegano da Dr.Web, e al momento le vittime si contano nell'ordine delle "decine" ma sono previste in rapida ascesa.

Il malware ha bisogno dei privilegi di amministratore per girare sulla macchina infetta, cercare i file da criptare nel file system - a partire dalla cartella in cui è stato salvato - e rilasciare un file di testo ("README_FOR_DECRYPT.txt") nelle cartelle in cui sono presenti file cifrato con le istruzioni per pagare il riscatto di 1 bitcoin (all'incirca 400 dollari) tramite la darknet di Tor.
Linux.Encoder.1 è progettato per cercare le installazioni di server HTTP Apache o Nginx, mentre i tipi di file da criptare includono eseguibili per Windows, librerie dinamiche, database MySQL, script e applet JavaScript o Java, file di documenti e via elencando. La codifica avviene tramite una chiave simmetrica AES a 128-bit, contenuta nel codice del malware e protetta da un ulteriore algoritmo crittografico asimmetrico RSA.

In teoria il doppio algoritmo di cifratura dovrebbe garantire l'inviolabilità della chiave simmetrica AES, in pratica gli autori del ransomware hanno commesso degli errori di programmazione che hanno già permesso ai ricercatori di sicurezza di Bitdefender di realizzare uno script Python in grado di decodificare e "disinfettare" i server compromessi. Il rischio è ora che ulteriori, nuovi sviluppi di Linux.Encoder.1 risolvano gli errori nel codice e trasformino il ransomware in un pericolo molto più grave di quello che è al momento. La tempestività con cui gli amministratori aggiorneranno Magento sarà determinante.

Alfonso Maruccia
Notizie collegate
  • SicurezzaCryptoLocker, ransomware in variante videoludicaIl famigerato malware sequestra-file torna a infettare i computer degli utenti, questa volta con la predilezione per i dati connessi a videogiochi, software house e piattaforme ludiche tra le pi¨ popolari su PC
  • SicurezzaTox, ransomware come servizioMcAfee identifica una nuova minaccia estorsiva, che per giunta permette a chiunque di diventare un cyber-criminale con pochi semplici passi. Non sarÓ l'ultimo caso del genere, prevede la security company
  • SicurezzaRansomware Android al cambio del PINTra finestre sovrascritte per garantirsi l'accesso al terminale e il cambio del codice di blocco da remoto, un nuovo ransomware insidia gli utenti Android
8 Commenti alla Notizia Ransomware all'attacco dei server Linux
Ordina