Os problemas de segurança estão a tornar-se cada vez maiores e a atingir cada vez mais utilizadores. O ransomware é já, infelizmente, conhecido de todos, com as consequências que bem se lhe conhece.
Mas o ransomware tem estado a evoluir e adaptar-se a novas realidades, atingindo agora servidores Linux, onde os sites da Internet estão alojados. Esta é a mais recente face deste problema.
Por norma o ransomware afectava os utilizadores do Windows, ficando limitado a máquinas pessoais, que depois de verem os seus ficheiros cifrados teriam de desembolsar um valor para poderem ter acesso aos seus ficheiros.
Mas a empresa de antivirus Doctor Web emitiu agora uma nota onde alerta os administradores de sistemas para uma nova vertente de ransomware. Depois de atacar os computadores com Windows passou agora para os servidores web Linux.
O ponto de entrada que foi identificado para este ataque é uma vulnerabilidade existente no CMS Magento, que permite que os atacantes coloquem o seu software a correr.
O Linux.Encoder.1, nome dado pela Dr Web a este ransomware, procura servidores onde sabe estar a correr o software Apache ou o Nginx. Tem também uma apetência especial por servidores onde o MySQL está presente.
Uma vez dentro do servidor o Linux.Encoder.1 inicia o seu processo de cifra, procurando as pastas do Apache, Nginx ou SQL, as homes dos utilizadores, mas não tocando nas pastas ou ficheiros de sistema ou de acesso a ele (.ssh).
First, Linux.Encoder.1 encrypts all files in home directories and directories related to website administration. Then the Trojan recursively traverses the whole file system starting with the directory from which it is launched; next time, starting with a root directory (“/”). At that, the Trojan encrypts only files with specified extensions and only if a directory name starts with one of the strings indicated by cybercriminals.
Compromised files are appended by the malware with the .encrypted extension. Into every directory that contains encrypted files, the Trojan plants a file with a ransom demand — to have their files decrypted, the victim must pay a ransom in the Bitcoin electronic currency.
Todos os ficheiros cifrados passam a ter a extensão .encrypted e em cada pasta por onde passa deixa também um ficheiro onde é explicado ao utilizador o processo de recuperação dos ficheiros.
O que os atacantes exigem ao administrador dessas máquinas é que seja pago um resgate, como é normal, no valor de uma bitcoin, cerca de 390 euros (420 dólares).
Apenas após esse pagamento é que é iniciado o processo de recuperação dos ficheiros. Este é feito de forma automática, pelo próprio software de ransomware, feito de forma inversa à que usou para realizar a cifra, e eliminando de todas as pastas o ficheiro que contém o pedido de resgate.
Para conseguir ser executado, o Linux.Encoder.1 necessita de permissões de administração, e muito provavelmente de um administrador para se iniciar.
As recomendações para estes casos não são diferentes das que são apresentadas em casos similares, mas nos computadores pessoais. Devem ser realizadas cópias de segurança periódicas e preferencialmente deslocalizadas fisicamente.
Caso sejam vítimas do Linux.Encoder.1 não devem tentar resolver o problema sozinhos, e devem procurar ajuda especializada. Na maioria dos casos uma reposição de uma cópia de segurança é o primeiro passo, mas devem ser tratados de seguida dos pontos de falha para evitar que sejam novamente explorados.
Estas novas variantes do ransomware mostram que os atacantes estão a tornar-se mais criativos e a procurar novos pontos de falha para poderem explorar.
Depois dos computadores pessoais é a vez dos servidores Linux serem as vítimas, com a triste garantia de que este movimento não ficará por aqui, esperando-se para breve novas formas de ataques.