Lilocked (Lilu) Ransomware infecta a miles de servidores web

Un ransomware relativamente nuevo llamado Lilocked por los investigadores y Lilu por los desarrolladores, se encuentra encriptando datos en servidores web. Todos los servidores infectados conocidos son sitios web, lo que provoca que los archivos encriptados se encuentren fácilmente en resultados de búsqueda de Google.

El primer reporte de Lilu fue realizado el día 26 de julio del 2019 en un articulo llamado “The Week in Ransomware” donde Michael Gillespie encontró una muestra subida a su servicio ID Ransomware. Fue nuevamente descubierto por el experto en seguridad Benkow quien lo publicó a través de tweeter. Google reporta mas de 6.000 resultados de sitios web encriptados y con sus archivos renombrados con extensión .lilocked, provocado por este ransomware.

Además, las estadísticas de envíos de ID Ransomware muestran que esta infección tiene un volumen bajo pero constante, de envíos al servicio de identificación de ransomware.

No se sabe si Lilu se dirige específicamente a los servidores web, pero la mayoría de los archivos enviados vistos encontrados están relacionados con sitios web. Al revisar los archivos enviados, no parece haber un patrón como WordPress, Magento u otros sitios de CMS comúnmente pirateados.

Lo que se conoce hasta este momento de la encriptación de datos por Lilu, no es mucho ya que aun no se encuentra alguna muestra de como trabaja internamente es ransomware. Según la poca información que hay podemos asegurar que cuando una maquina es infectada, encripta los archivos cambiando el nombre del archivo por su extension .lilocked. Un ejemplo de esto seria , apple-icon.png seria encriptado y renombrado como apple-icon.png.lilocked.

Para cada carpeta infectada Lilocked deja una nota llamada #README.lilocked.

La nota #README.lilocked informa a la víctima que sus datos an sido encriptados y que se dirijan al sitio de pago de tor de la banda para poder pagar la recompensa requerida, en este archivo va incluido una llave necesaria para el login del sitio de pago.

Si la víctima entra al sitio muestra un formulario donde tiene que ingresar la llave entregada.

Una vez ingresada la llave, se despliega un mensaje de como pagar la recompensa, esta esta en bitcoins (0.010 BTC) que equivalen aproximadamente a 100 USD que es lo que demanda la banda.

Hasta este momento no se conoce una forma efectiva de desencriptar los archivos,  también se descubrió ­­­­­­el correo asociado al ataque.

Referencias:

https://www.zdnet.com/article/thousands-of-servers-infected-with-new-lilocked-lilu-ransomware/

https://www.notebookcheck.net/Lilu-Lilocked-ransomware-has-now-infected-thousands-of-Linux-servers.434547.0.html

https://blog.knowbe4.com/thousands-of-servers-infected-with-new-lilocked-lilu-ransomware

https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/

https://www.linuxadictos.com/lilu-nuevo-ransomware-infecta-miles-de-servidores-basados-en-linux.html