El panorama tecnológico actual, donde abundan las amenazas avanzadas y persistentes, exige herramientas de seguridad sólidas, una de las cuales es el cifrado. Pero, ¿qué hará cuando se utilice la misma seguridad en su contra?
Tal es el caso de los ataques de ransomware. Aunque el cifrado tiene la capacidad principal de ayudar a proteger sus datos y archivos del acceso no autorizado, también tiene su parte de vicios si se usa de manera inapropiada.
Se ha descubierto una nueva familia de ransomware que funciona para cifrar los archivos de los servidores web basados en Linux, haciéndolo prácticamente inaccesible para el propietario del sitio a partir de entonces, a menos que, por supuesto, el propietario acepte pagar la cantidad que los atacantes exigen a cambio. la clave de descifrado. Es una especie de extorsión cibernética que en la actualidad aún no se ha abordado.
La última cadena de ransomware que se llama Linux.Encoder.1 tiene un sitio web completo como rescate. Dado que el malware todavía es relativamente nuevo y solo está comenzando a apuntar a individuos, solo ha habido algunos casos en los que se encontró sosteniendo un sitio web y bloqueando al propietario.
Pero los investigadores de seguridad continúan encontrando una lista cada vez mayor de víctimas de este malware. El método del atacante es cifrar todo el sitio web y solicitar un Bitcoin como pago de rescate, lo que equivale aproximadamente a 500 dólares por cada Bitcoin.
Entonces, ¿cómo logran los piratas informáticos obtener acceso a estos sitios web objetivo? Según los hallazgos revelados por la firma de seguridad Doctor Web, los atacantes explotaron una vulnerabilidad en el sistema de administración de contenido Magneto.
Aunque ya existe una solución de software para esta falla de seguridad en Magneto, la implementación del parche está tardando más en completarse. El parche se lanzó el mes pasado, pero solo unos pocos han recibido la corrección.
A la víctima le resultará difícil producir o simular una clave de descifrado para desbloquear los archivos cifrados en el servidor porque Linux.Encoder.1 utiliza una clave RSA-2048, que es imposible de duplicar. Este es el mismo método utilizado por otros ataques de ransomware.
Este ransomware en particular se dirige a las instalaciones de servidores Apache, MySQL y Nginx para garantizar que solo encripta los datos y archivos vitales de la víctima. A través de esto, el atacante está seguro de que el usuario hará lo que sea necesario para recuperar los archivos bloqueados, incluso si se necesita un rescate.
El atacante luego deja una nota de rescate después de dejar un archivo de texto que explica cómo la víctima puede recuperar los archivos. Hay un enlace que dirige a la víctima a una página Tor2web.
Nuevamente, la mejor manera de proteger sus datos de estos cibercriminales es actualizar su herramienta de seguridad y hacer una copia de seguridad de sus datos.
