La security enterprise russa Doctor Web (Dr.Web) ha identificato un nuovo malware per Linux chiamato Linux.Encoder.1 , un trojan con funzionalità da ransomware creato con l’obiettivo specifico di criptare i file presenti su un server Linux. Il riscatto richiesto per la decodifica è tutto sommato modico, e non serve pagarlo in ogni caso visto che il codice malevolo contiene errori che ne neutralizzano del tutto la pericolosità – almeno per il momento.
Linux.Encoder.1 è in grado di infettare un server sfruttando una vulnerabilità critica nel CMS Magento divenuta di pubblico dominio e sistemata da circa una settimana, spiegano da Dr.Web, e al momento le vittime si contano nell’ordine delle “decine” ma sono previste in rapida ascesa.
Il malware ha bisogno dei privilegi di amministratore per girare sulla macchina infetta, cercare i file da criptare nel file system – a partire dalla cartella in cui è stato salvato – e rilasciare un file di testo (“README_FOR_DECRYPT.txt”) nelle cartelle in cui sono presenti file cifrato con le istruzioni per pagare il riscatto di 1 bitcoin (all’incirca 400 dollari) tramite la darknet di Tor.
Linux.Encoder.1 è progettato per cercare le installazioni di server HTTP Apache o Nginx, mentre i tipi di file da criptare includono eseguibili per Windows, librerie dinamiche, database MySQL, script e applet JavaScript o Java, file di documenti e via elencando. La codifica avviene tramite una chiave simmetrica AES a 128-bit, contenuta nel codice del malware e protetta da un ulteriore algoritmo crittografico asimmetrico RSA.
In teoria il doppio algoritmo di cifratura dovrebbe garantire l’inviolabilità della chiave simmetrica AES, in pratica gli autori del ransomware hanno commesso degli errori di programmazione che hanno già permesso ai ricercatori di sicurezza di Bitdefender di realizzare uno script Python in grado di decodificare e “disinfettare” i server compromessi. Il rischio è ora che ulteriori, nuovi sviluppi di Linux.Encoder.1 risolvano gli errori nel codice e trasformino il ransomware in un pericolo molto più grave di quello che è al momento. La tempestività con cui gli amministratori aggiorneranno Magento sarà determinante .
Alfonso Maruccia