Ransomware também já chegou aos servidores Linux


Os problemas de segurança estão a tornar-se cada vez maiores e a atingir cada vez mais utilizadores. O ransomware é já, infelizmente, conhecido de todos, com as consequências que bem se lhe conhece.

Mas o ransomware tem estado a evoluir e adaptar-se a novas realidades, atingindo agora servidores Linux, onde os sites da Internet estão alojados. Esta é a mais recente face deste problema.

Por norma o ransomware afectava os utilizadores do Windows, ficando limitado a máquinas pessoais, que depois de verem os seus ficheiros cifrados teriam de desembolsar um valor para poderem ter acesso aos seus ficheiros.

Mas a empresa de antivirus Doctor Web emitiu agora uma nota onde alerta os administradores de sistemas para uma nova vertente de ransomware. Depois de atacar os computadores com Windows passou agora para os servidores web Linux.

O ponto de entrada que foi identificado para este ataque é uma vulnerabilidade existente no CMS Magento, que permite que os atacantes coloquem o seu software a correr.

O Linux.Encoder.1, nome dado pela Dr Web a este ransomware, procura servidores onde sabe estar a correr o software Apache ou o Nginx. Tem também uma apetência especial por servidores onde o MySQL está presente.

Uma vez dentro do servidor o Linux.Encoder.1 inicia o seu processo de cifra, procurando as pastas do Apache, Nginx ou SQL, as homes dos utilizadores, mas não tocando nas pastas ou ficheiros de sistema ou de acesso a ele (.ssh).

"First, Linux.Encoder.1 encrypts all files in home directories and directories related to website administration. Then the Trojan recursively traverses the whole file system starting with the directory from which it is launched; next time, starting with a root directory (“/”). At that, the Trojan encrypts only files with specified extensions and only if a directory name starts with one of the strings indicated by cybercriminals."

Compromised files are appended by the malware with the .encrypted extension. Into every directory that contains encrypted files, the Trojan plants a file with a ransom demand — to have their files decrypted, the victim must pay a ransom in the Bitcoin electronic currency.

Todos os ficheiros cifrados passam a ter a extensão .encrypted e em cada pasta por onde passa deixa também um ficheiro onde é explicado ao utilizador o processo de recuperação dos ficheiros.

O que os atacantes exigem ao administrador dessas máquinas é que seja pago um resgate, como é normal, no valor de uma bitcoin, cerca de 390 euros (420 dólares).

Apenas após esse pagamento é que é iniciado o processo de recuperação dos ficheiros. Este é feito de forma automática, pelo próprio software de ransomware, feito de forma inversa à que usou para realizar a cifra, e eliminando de todas as pastas o ficheiro que contém o pedido de resgate.

Para conseguir ser executado, o Linux.Encoder.1 necessita de permissões de administração, e muito provavelmente de um administrador para se iniciar.

As recomendações para estes casos não são diferentes das que são apresentadas em casos similares, mas nos computadores pessoais. Devem ser realizadas cópias de segurança periódicas e preferencialmente deslocalizadas fisicamente.

Caso sejam vítimas do Linux.Encoder.1 não devem tentar resolver o problema sozinhos, e devem procurar ajuda especializada. Na maioria dos casos uma reposição de uma cópia de segurança é o primeiro passo, mas devem ser tratados de seguida dos pontos de falha para evitar que sejam novamente explorados.

Estas novas variantes do ransomware mostram que os atacantes estão a tornar-se mais criativos e a procurar novos pontos de falha para poderem explorar.

Depois dos computadores pessoais é a vez dos servidores Linux serem as vítimas, com a triste garantia de que este movimento não ficará por aqui, esperando-se para breve novas formas de ataques.



0 Comentários

NVIDIA dá um grande passo para melhorar sua experiência de GPU no Linux

 A grande decisão de código aberto da Nvidia para ajudar a melhorar a experiência do Linux nas GPUs NVIDIA. Linus Torvalds ficará feliz em ouvir isso… A NVIDIA finalmente anunciou uma iniciativa de código aberto para melhorar a experiência da GPU no Linux. Infelizmente, não é exatamente o que você pensa, você ainda encontrará drivers proprietários por aí. Mas é tão significativo quanto abandonar os drivers proprietários. Aqui está: a NVIDIA lançou módulos de kernel de GPU de código aberto com suporte para GPUs de data center e placas de consumidor (GeForce/RTX) . E, é licenciado sob uma licença GPL/MIT dupla, parece incrível, certo? Como isso ajuda os usuários de desktop Linux? Os módulos de kernel de GPU de código aberto ajudarão a melhorar a interação entre o kernel e o driver proprietário. Portanto, essa mudança é benéfica tanto para os jogadores quanto para os desenvolvedores , onde os aborrecimentos de trabalhar com um driver proprietário da Nvidia acabarão sendo eliminados. O anú