El ransomware conmúmente afecta computadoras y teléfonos inteligentes pero ahora se coló en los siempre fiables servidores web de linux.
Este virus se infiltra en los sitios webs a través de vulnerabilidades en sus plugins o en el software usado por el Administrador (Webmaster) .
La empresa ESET lo bautizó como Linux/Filecoder.A y fue inicialmente reportado por la firma Dr. Web; este virus busca «secuestrar» los archivos, páginas e imágenes del sitio afectado basado en Linux para pedir a su administrador el pago de un rescate de 1 bitcoin (aproximadamente 300 dólares, según The Hacker News).
En concreto, la amenaza cifra archivos con extensiones conocidas para desarrollar un sitio web, y funciona correctamente solo si se ejecuta con permisos de root. Una vez que está corriendo el servicio, cifra y borra los archivos originales, utilizando el algoritmo de RSA AES de 2048 bits y cambiando las extensiones a “.encrypt”. De este modo, la víctima visualiza un mensaje que le solicita el pago de 1 bitcoin por el rescate y recuperación de su información, mediante un enlace a la red Tor.
¿Qué tipo de archivos se ven afectados?
Este ransomware busca cifrar archivos pertenecientes a las carpetas home, root, MySQL, Apache, git, svn, webapp, www, public_html y backup, que normalmente están presentes en los servidores y contienen la mayor porción de información que un visitante utiliza.
A su vez, curiosamente, cifra archivos de desarrollo web como son las extensiones .JS, .CSS, .properties, .XML, .ruby, .PHP, .HTML, .GZ, y .ASP. Por otra parte, como cualquier otro código malicioso de esta familia, afecta a archivos más comunes como .RAR, .7Z, .XLS, .PDF, .DOC, .AVI, .MOV, .PNG, y .JPG. Esto significa que no solo busca los que alojen información sino también a los que contengan código funcional de la página afectada.
Posibles escenarios de infección del ransomware Linux/Filecoder.A
Diego Perez, Malware Analyst de ESET, señala dos escenarios:
1. Infección al servidor en donde se encuentra el sitio web
En caso de que el código malicioso haya logrado infectar al servidor en donde se encuentra la versión estable del sitio web, el daño que se va reflejar a simple vista es la imposibilidad de ingresar al mismo, ya que no se podrán leer los archivos. Podríamos decir que el daño no lo tendría el equipo de desarrollo sino el servicio de hosting que fue contratado para subir el sitio web.
En este caso se debería informar a los responsables del servidor para que realicen una exploración y eliminen el código malicioso. Luego del proceso antes mencionado, se debería volver a subir los archivos correspondientes y así el sitio web estaría disponible para los usuarios.
2. Infección al equipo o compañía de desarrollo del sitio web
En este escenario el daño que el código malicioso lograría es aún mayor que en el caso anterior. ¿Por qué? Porque el ransomware cifraría todo el proyecto junto con los archivos de la empresa desarrolladora del sitio web, y en caso de que no se tuviera un respaldo o backup de la información secuestrada, el daño sería crítico.
Ante amenazas como este ransomware que apunta a servidores web, lo necesario es contar con una solución de seguridad antivirus, protocolos y procesos de seguridad adecuados y un backup diario de la información sensible. Por otro lado, como siempre afirmamos, no es aconsejable pagar el rescate, aunque el FBI diga lo contrario.