Des milliers de serveurs infectés par le nouveau ransomware Lilocked (Lilu)
Des milliers de serveurs Web ont été infectés et leurs fichiers chiffrés par une nouvelle souche de ransomware appelée Lilocked (ou Lilu).
Les infections ont lieu depuis la mi-juillet et se sont intensifiées au cours des deux dernières semaines, a appris ZDNet.
Selon les premiers constats, le ransomware Lilocked semble ne cibler que les systèmes Linux. Les premiers rapports remontent à la mi-juillet, lorsque certaines victimes ont mis en ligne la demande de rançon Lilocked sur ID Ransomware, un site Web permettant d’identifier le nom du ransomware ayant infecté le système de la victime.
#Ransomware Hunt: extension “.lilocked”, note “#README.lilocked” – https://t.co/cvaSXon1nN pic.twitter.com/mc2m8rsDFR
— Michael Gillespie (@demonslay335) July 20, 2019
La façon dont Lilocked compromet les serveurs et chiffre leur contenu est actuellement inconnue. Un fil de discussion sur un forum russe met en avant la théorie selon laquelle des escrocs pourraient cibler des systèmes exécutant un logiciel Exim (email) obsolète. Il mentionne également le fait que le ransomware a réussi à obtenir un accès root aux serveurs par des moyens inconnus.
Les serveurs touchés par ce ransomware sont faciles à repérer, car la plupart de leurs fichiers sont chiffrés et portent une nouvelle extension de fichier “.lilocked”.
Une copie de la demande de rançon (nommée # README.lilocked) est disponible dans chaque dossier où le malware a chiffré des fichiers.
Les utilisateurs sont redirigés vers un portail sur le dark web où ils sont invités à entrer une clé donnée dans la demande de rançon. Les opérateurs de lilocked affichent alors une demande de rançon, demandant aux victimes 0,03 bitcoin (environ 325 $).
Lilocked ne chiffre pas les fichiers système, mais seulement un petit sous-ensemble d’extensions de fichiers, telles que HTML, SHTML, JS, CSS, PHP, INI et divers formats de fichier image.
Cela signifie que les serveurs infectés continuent de fonctionner normalement. Selon le chercheur français en sécurité Benkow, Lilocked a touché plus de 6 700 serveurs, dont beaucoup ont été indexés et mis en cache dans les résultats de recherche Google.
Cependant, le nombre de victimes pourrait être beaucoup plus élevé. Tous les systèmes Linux n’exécutent pas de serveurs Web et de nombreux autres systèmes infectés n’ont pas été indexés dans les résultats de recherche Google.
Le vecteur d’infection initial de ce malware restant un mystère, il est impossible de fournir des conseils de sécurité génériques aux propriétaires de serveurs. Il leur est conseillé d’utiliser des mots de passe uniques pour tous leurs comptes et de maintenir les applications à jour avec les correctifs de sécurité.
Les opérateurs de Lilocked n’ont pas répondu à nos questions, envoyées à l’adresse e-mail indiquée dans la note de rançon.
Source : Thousands of servers infected with new Lilocked (Lilu) ransomware
