Ransomware en servidores web Linux

CSIRT Panamá Aviso 2015-11- Ransomware en servidores web Linux
Gravedad: Alta
Fecha de publicación: Noviembre 11, 2015
Fecha de modificación: Noviembre 11, 2015
Última revisión: Revisión A.
Fuente: Dr.WEB Anti-Virus

Sistemas Afectados
Servidores web Linux (tanto de alojamiento de páginas web como de desarrollo web)

I. Descripción

El ransomware para Linux está escrito en C usando la librería PolarSSL y es apodado “Linux.Encoder.1”. Una vez infectado un servidor web, el código malicioso cifra todos los archivos en el directorio “home”, los directorios de respaldo y los directorios de sistema asociados a los archivos de desarrollo web. El ransomware toma ventaja de diversas vulnerabilidades en web plugins o programas de terceros en servidores web o de web hosting. Como medida de seguridad se deben actualizar los servidores web, Apache, Ngnix, CMS, servicios y web plugins. En caso de infección se puede ejecutar el programa Dr.WEB Anti-virus para eliminar el ransomware y para recuperar los archivos cifrados se puede ejecutar un script de descifrado de AES de la empresa BitDefender.

II. Impacto

Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso parcial o total de la integridad del sistema + Compromiso parcial o total de la confidencialidad del sistema + Compromiso parcial o total de la disponibilidad del sistema.

III. Referencia a soluciones, herramientas e información

  • http://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-predictable-encryption-key/
  • http://vms.drweb.com/virus/?i=7704004&lng=en
  • http://www.welivesecurity.com/la-es/2015/11/09/linux-ransomware-que-apunta-a-servidores-web/

IV. Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la
Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: http://www.cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124