Si está ejecutando un sitio web que utiliza la solución de Magento, es probable que sea la próxima víctima de una nueva generación de ransomware denominado KimcilWare, que los investigadores de seguridad han detectado en la naturaleza infectando varios sitios.
Dado que el malware acaba de ser descubierto, sería difícil establecer en este momento cómo los atacantes lograron irrumpir en los sitios web victimizados y cifrar los archivos con el uso de un cifrado en bloque llamado Rijndael. Según los informes iniciales, los atacantes están vendiendo la clave de descifrado del ransomware a 415 dólares, equivalente a un Bitcoin. Otras variantes del ransomware se pueden descifrar a un costo menor, tan bajo como $ 140.
KimcilWare fue visto por primera vez como una variante rota de Hidden Tear, presumiblemente debido a ciertos problemas con la conectividad SSL del servidor de comando y control de los atacantes. La persona responsable del ransomware parece ser el mismo atacante detrás de otra brecha en un sitio web infectado con KimcilWare, como lo indica la nota de rescate, que contenía la dirección de correo electrónico del atacante.
Los investigadores de seguridad encontraron algunas variaciones en la forma en que el atacante infectó los dos sitios de las víctimas con el ransomware, pero la notable similitud fue la dirección de correo electrónico del atacante y el uso de la plataforma de comercio electrónico Magento en ambos sitios web.
Una investigación adicional reveló que el atacante detrás del ransomware KimcilWare había comenzado a atacar los sitios web durante más de un mes, eliminando un script destinado a bloquear a los propietarios de sitios web cifrando los datos de su sitio. Se utilizaron más de dos tipos de secuencias de comandos para cifrar esas piezas de información, según los investigadores.
El primer script convertirá los archivos con la extensión de archivo .kimcilware para cifrar los datos del sitio web, con la adición de un archivo HTML que muestra la nota de rescate. El segundo script coloca la extensión .locked en el archivo que se ha cifrado y muestra un mensaje que contiene la nota de rescate, que dice que la víctima debe enviar un Bitcoin al atacante para desbloquear los archivos. La dirección de Bitcoin se incluye en la nota de rescate, así como la dirección de correo electrónico a través de la cual se le indica a la víctima que se comunique con el atacante después de que se haya pagado el monto del rescate.
No está claro cómo el atacante se apoderó de los servidores que estaban siendo victimizados, pero parece que la extensión Helios Vimeo Video Gallery ha sido explotada. Magento aún no ha publicado una declaración sobre los ataques.
