Ransomware all’attacco dei server Linux
La security enterprise russa Doctor Web (Dr.Web) ha identificato un nuovo malware per Linux chiamato Linux.Encoder.1, un trojan con funzionalità da ransomware creato con l’obiettivo specifico di criptare i file presenti su un server Linux. Il riscatto richiesto per la decodifica è tutto sommato modico,
e non serve pagarlo in ogni caso visto che il codice malevolo contiene errori che ne neutralizzano del tutto la pericolosità
– almeno per il momento.
Tutte le versioni dalla 4.4.14 in poi includono gia’ la patch di sicurezza che previene il trojan che genera l’infezione.
Tutt le versioni precedenti sono vulnerabili.
Linux.Encoder.1 è in grado di infettare un server sfruttando una vulnerabilità de protocollo smaba dalla versione 3.5 in giu’
divenuta di pubblico dominio e sistemata da circa una settimana,
e al momento le vittime si contano nell’ordine delle “decine” ma sono previste in rapida ascesa.
Il malware ha bisogno dei privilegi di amministratore per girare sulla macchina infetta,
cercare i file da criptare nel file system – a partire dalla cartella in cui è stato salvato
e rilasciare un file di testo (“README_FOR_DECRYPT.txt”)
nelle cartelle in cui sono presenti file cifrati con le istruzioni per pagare il riscatto di 1 bitcoin
(all’incirca 400 dollari) tramite la darknet di Tor.
Bit defender ha trovato una falla nel sistema di generazione della chiave. Il generatore pseudo casuale viene indicizzato del timestamp. E’ disponibile quindi un programma che decifra i file criptati.
Come sappiamo pero’ ,
sia i buoni che i cattivi stanno lavorando alle varie modifiche per essere piu’ incisivi da tutte e due le parti della barricata.