Autores de ransomware continúan su búsqueda de nuevas fuentes de ingresos. Después de orientarse hacia consumidores finales y luego a entornos de negocios, ahora han ampliado sus ataques a los servidores web.

Investigadores de malware del proveedor de antivirus ruso Doctor Web han descubierto recientemente un nuevo software malicioso para sistemas basados --en Linux al cual han llamado Linux.Encoder.1.

Una vez que se ejecuta en un sistema con privilegios de administrador, comienza buscando en todo el sistema de archivos para cifrar archivos de directorios específicos, incluyendo el directorio home del usuario, el directorio del servidor MySQL, el directorio de logs y los directorios web de los servidores web Apache y Nginx.

El software malicioso cifra los archivos con determinadas extensiones, en particular los relacionados con las aplicaciones web en diferentes lenguajes de programación, imágenes, multimedia y documentos. Finalmente deja una nota de rescate en cada directorio que contiene los archivos cifrados.

Linux.Encoder.1 utiliza un algoritmo de cifrado y criptografía de llave pública, hace que los archivos sean difíciles de recuperar si no se tienen copias de seguridad o se paga el rescate.

A diferencia de las PC de los consumidores o estaciones de trabajo empresariales, los servidores web son más propensos a tener una rutina de copia de seguridad configurada. Sin embargo, este ransomware también cifra los archivos y directorios que contengan la palabra backup, por lo que es de vital importancia guardar regularmente copias de seguridad en un servidor remoto o almacenamiento fuera de línea.

No está claro cómo se instala el malware en los servidores, pero los ataques contra los sistemas Linux normalmente implican fuerza bruta, adivinar las credenciales de acceso remoto (SSH) o la manipulación de aplicaciones web como inyección SQL o inclusión de archivos remotos combinados con el escalamiento de privilegios locales.