Lilocked (Lilu): Ransomware mới mã hóa các tệp tin của máy chủ trên diện rộng

Lại thêm một ransomware nữa thu hút sự chú ý của dư luận khi liên tục thực hiện các cuộc tấn công khai thác máy chủ. Được đặt tên là Lilocked (hay Lilu), ransomware mã hóa các tệp được lưu trữ trên các máy chủ, bao gồm cả máy chủ Linux. Tuy nhiên, cho tới nay vectơ tấn công của ransomware này vẫn còn là một ẩn số. 

Ransomware Lilocked tấn công các máy chủ

Nhà nghiên cứu Michael Gillespie đã chỉ ra một biến thể ransomware mới, được xác định là ‘Lilocked’ do chứa phần mở rộng ‘.lilocked’ mã hóa các tệp. Ransomware này bắt đầu hoạt động từ tháng 7 năm nay.

Nhà nghiên cứu đã phát hiện ra ransomware này khi tìm thấy mẫu (sample) của nó trên dịch vụ nhận dạng phần mềm độc hại của mình mang tên ‘ID ransomware’.

Michael Gillespie@demonslay335

Hunt: extension “.lilocked”, note “.lilocked” – https://pastebin.com/XG45Nj8T 

Xem hình ảnh trên Twitter
19 người đang nói chuyện về điều này

Gần đây, kết quả hiển thị trên trang tìm kiếm của Google cũng cho thấy có hơn 6000 máy chủ đã bị nhiễm Lilocked.

Có vẻ mục tiêu của mã độc này là nhắm vào các máy chủ Linux. Bên cạnh đó, Bleeping Computer cho biết ransomware cũng đang tiến hành lây nhiễm cho các trang web và tệp dữ liệu mà họ phân tích.

Tuy nhiên, theo ZDNet, điều này có thể được coi là hiển nhiên vì không phải tất cả các hệ thống Linux đều chạy các máy chủ web. Ngoài ra, nhiều hệ thống bị nhiễm không xuất hiện trong kết quả tìm kiếm của Google.

 

hưa xác định được điểm khởi đầu (entry point) của malware

Thật không may là cho tới nay vẫn chưa có nhiều thông tin liên quan đến ransomware Lilu, bao gồm cả cách thức xâm nhập của malware tới các hệ thống mục tiêu.

Michael Gillespie@demonslay335

Hunt: extension “.lilocked”, note “.lilocked” – https://pastebin.com/XG45Nj8T 

Xem hình ảnh trên Twitter

Jay Gairson@maztec

Hit the server by order of last user logged in and that user’s directories. Used an Exim exploit.

The affected system was taken offline and replaced, but a copy of it is preserved. Happy to see if the ransomware was actually stored on the drive rather than just in memory.

Xem các Tweet khác của Jay Gairson

Một trong những nạn nhân của mã độc Lilocked nghi ngờ rằng rất có thể malware đã khai thác Exim để nhắm mục tiêu vào máy chủ.

Theo các thông tin có được cho tới thời điểm hiện tại, khi xâm nhập vào một thiết bị đích, ransomware bắt đầu mã hóa các tệp với phần mở rộng ‘.lilocked’.

Sau đó, nó đặt một bản sao ghi chú tiền chuộc ‘# README.lilocked’ vào mỗi thư mục mã hóa. Ghi chú này sẽ điều hướng nạn nhân đến trang web Tor của những kẻ tấn công để buộc họ phải trả tiền chuộc.

Trang web này đồng thời cũng yêu cầu khách truy cập nhập một mã khóa (key) được đề cập trong ghi chú tiền chuộc.

Các khoản tiền chuộc vẫn nằm trong khoảng giới hạn trung bình ‘có thể chi trả’, dao động trong khoảng từ 0.01 đến 0.03 Bitcoin (khoảng 100 đến 300 đô la).

Điều khiến Lilu khác biệt so với các ransomware khác là nó không mã hóa các tệp hệ thống. Thay vào đó, về cơ bản nó nhắm vào một tập hợp con nhỏ của các phần mở rộng tệp, chẳng hạn như các tệp .shtml, .jpg và php.ini (như được quan sát từ các mẫu).

Hiện tại, do vẫn chưa xác định được vectơ tấn công của ransomware nên chủ sở hữu của các máy chủ (server owner) cần đảm bảo tăng cường các biên pháp bảo mật tối đa để ngăn chặn nguy cơ có thể xảy ra của các cuộc tấn công này.

Theo Latest Hacking News – SecurityDaily tổng hợp

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *