Un nuovo ransomware colpisce i server Linux

By Jessica Lambiase

I criminali della rete hanno vita piuttosto semplice “grazie” ai ransomware: questo particolare tipo di malware, infatti, ha come obiettivo la cifratura completa dei dati dei computer che colpisce (oltre che quella dei dispositivi di archiviazione di massa connessi, rete inclusa) finalizzata ad una richiesta di riscatto per ri-ottenere l’accesso ai propri dati.

L’ascesa di questo tipo di malware – per il momento mirato ai sistemi operativi Windows (spesso), Android (meno spesso) e OS X (raro) – è iniziata con Cryptolocker, mirato alla cifratura dei dati casalinghi, per poi espandere il suo raggio d’azione ai computer aziendali con ransomware che, se il riscatto non viene pagato, minacciano non solo di rendere inaccessibili i dati locali ma di diffondere le copie originali e non cifrate su Internet rendendoli disponibili al mondo intero.

Il che, per un’azienda che memorizza dati sensibili, è un bel guaio. Ma non finisce qui, poiché la “grande famiglia” delle vittime è in procinto di accogliere un altro sistema operativo: secondo la security firm russa Doctor Web si starebbe facendo strada un ransomware mirato ad attaccare macchine server con sistemi operativi Linux-based. Il nome in codice assegnato a questo tipo di malware è Linux.Encoder.1.

ransomware-linux

La tecnica è sempre la stessa: una volta eseguito con i dovuti privilegi, il ransomware inizia ad analizzare il filesystem in cerca di dati da cifrare; in tal caso verranno criptate specifiche cartelle (con annessi file) vitali per un server Linux, tra cui la home directory dell’utente, la directory del server MySQL, la directory web dei server Apache ed Nginx e in ultima, ma non di minore importanza, la directory dedicata ai log.

Il ransomware andrebbe a cifrare anche specifici file distinguendoli per estensione – le vittime sono le applicazioni web scritte in diversi linguaggi (quindi .php, .htm, .html, .jsp e quant’altro), le immagini e i documenti; inoltre, il malware lascia una nota (immagine in basso) in ciascuna directory contenente file cifrati.

nota_risultato

Ciliegina sulla torta, Linux.Encoder.1 cifra anche file e cartelle contenenti la parola “backup”, giusto per lasciare all’utente poche speranze di salvarsi.

La cifratura che Linux.Encoder.1 applica ai file – i cui originali vengono eliminati – è di tipo RSA asimmetrico, a chiave pubblica, ed utilizza l’algoritmo AES per generare le chiavi private. Per questa ragione la possibilità di ri-ottenere l’accesso ai file tentando di scoprire la chiave è piuttosto bassa.

E’ fondamentale, per ri-ottenere l’accesso ai propri dati, tenere una copia di backup di questi in locale o su un server remoto (non collegato direttamente alla macchina né mappato via CIFS o affini).

Dopo tante notizie negative, però, qualcosa di positivo in tutto questo c’è: nonostante non sia chiaro come Linux.Encoder.1 possa diffondersi, bisogna tener presente che per completare il suo compito ha bisogno di permessi elevati (root, sudo con accesso root o appartenenza al gruppo root), pertanto è piuttosto raro che su un server sicuro, ben configurato e resistente agli attacchi esterni più insistenti (bruteforce SSH, attacchi XSS, SQL injection e quant’altro) un ransomware del genere abbia vita facile.

A meno che l’amministratore non esegua sul server file dalla provenienza non accertata con privilegi amministrativi ma questo, ad onor del vero, è un caso piuttosto raro.

L’articolo Un nuovo ransomware colpisce i server Linux appare per la prima volta su Chimera Revo – News, guide e recensioni sul Mondo della tecnologia.

Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.