EPIC Fail – Ransomware de Linux es CRACKEADO por tercera ocasión

En los últimos meses, un grupo de cibercriminales ha estado infectando los sistemas Linux, principalmente servidores web, con un programa de ransomware que cifra archivos conocido como Linux.Encoder.
No obstante, la tercera versión de Linux.Encoder que infecta sistemas Linux tiene errores en el cifrado, lo que premite la recuperación de archivos.
Este desarrollo es preocupante debido a que las infecciones en servidores web no requieren de la interacción con el equipo, como en el caso de las computadoras de escritorio, donde los vectores de ataque más comunes son cuando el usuario abre archivos adjuntos de su correo electrónico o visita sitios web maliciosos. En lugar de ello, los atacantes utilizan scanners automatizados para encontrar servidores con aplicaciones vulnerables o contraseñas SSH débiles obtenidas mediante métodos de fuerza bruta.
Muchos webmaster han creado malos hábitos con las copias de seguridad automáticas que guardan directorios y contenidos de bases de datos en el mismo servidor de la página web; quedando cifrados también por el ransomware.
Afortunadamente, todas las variantes de Lunux.Encoder tenían errores de implementación de cifrado, permitiendo a los investigadores crear herramientas para descifrar y rescatar los archivos infectados.
Investigadores de Bitdefender afirman que Linux.Encoder ha infectado al menos a 600 servidores hasta el momento.
La nueva versión intenta generar una clave de cifrado AES-256 al obtener 32 bytes aleatorios de la función rand ( ) y el hash de ocho de ellos.
Sin embargo, los creadores de ransomware olvidaron seleccionar un algoritmo de hash, por lo que la salida de la función se mantiene sin cambios, según dijeron investigadores de Bitdefender en su blog. “Como resultado, la clave completa AES se escribe en el archivo cifrado, haciendo más que fácil su recuperación.”
Bitdefender ha lanzado una nueva herramienta para descifrar los archivos afectados. Por desgracia, la gente detrás de este programa parece ser perseverante y es poco probable que siga cometiendo errores. Es seguro asumir que van a obtener una buena implementación en algún momento y cuando esto suceda, los archivos serán irrecuperables si no se tienen copias de seguridad o se paga el rescate. 
Por ello es importante asegurar la autenticación SSH para mantener aplicaciones web como WordPress, Joomla y otros sistemas de gestión de contenido actualizados, así como utilizar firewall de aplicaciones web para detectar y bloquear diversos intentos de explotación. 
También es muy importante crear copias de seguridad periódicamente y almacenarlas fuera del sitio.

Leave a Reply