Lilocked (Lilu): Ransomware mới mã hóa các tệp tin của máy chủ trên diện rộng

Lại thêm một ransomware nữa thu hút sự chú ý của dư luận khi liên tục thực hiện các cuộc tấn công khai thác máy chủ. Được đặt tên là Lilocked (hay Lilu), ransomware mã hóa các tệp được lưu trữ trên các máy chủ, bao gồm cả máy chủ Linux. Tuy nhiên, cho tới nay vectơ tấn công của ransomware này vẫn còn là một ẩn số. 




Ransomware Lilocked tấn công các máy chủ



Nhà nghiên cứu Michael Gillespie đã chỉ ra một biến thể ransomware mới, được xác định là ‘Lilocked’ do chứa phần mở rộng ‘.lilocked’ mã hóa các tệp. Ransomware này bắt đầu hoạt động từ tháng 7 năm nay.



Nhà nghiên cứu đã phát hiện ra ransomware này khi tìm thấy mẫu (sample)
của nó trên dịch vụ nhận dạng phần mềm độc hại của mình mang tên ‘ID
ransomware’.





#Ransomware Hunt: extension ".lilocked", note " #README .lilocked" – https://t.co/cvaSXon1nN pic.twitter.com/mc2m8rsDFR — Michael Gillespie (@demonslay335) July 20, 2019


Gần đây, kết quả hiển thị trên trang tìm kiếm của Google cũng
cho thấy có hơn 6000 máy chủ đã bị nhiễm Lilocked.



Có vẻ mục tiêu của mã độc này là nhắm vào các máy chủ Linux. Bên cạnh đó, Bleeping Computer cho biết ransomware cũng đang tiến hành lây nhiễm cho các trang web và tệp dữ liệu mà họ phân tích.



Tuy nhiên, theo ZDNet , điều này có thể được coi là hiển nhiên vì không phải tất cả các hệ thống Linux đều chạy các máy chủ web. Ngoài ra, nhiều hệ thống bị nhiễm không xuất hiện trong kết quả tìm kiếm của Google.



>> Công cụ miễn phí giải mã 15 loại ransomware




Chưa xác định được điểm khởi đầu (entry point) của malware



Thật không may là cho tới nay vẫn chưa có nhiều thông tin
liên quan đến ransomware Lilu, bao gồm cả cách thức xâm nhập của malware tới các
hệ thống mục tiêu.





Hit the server by order of last user logged in and that user's directories. Used an Exim exploit. The affected system was taken offline and replaced, but a copy of it is preserved. Happy to see if the ransomware was actually stored on the drive rather than just in memory. — Jay Gairson (@maztec) August 5, 2019


Một trong những nạn nhân của mã độc Lilocked nghi ngờ rằng rất có thể malware
đã khai thác Exim để nhắm mục tiêu vào máy chủ.



Theo các thông tin có được cho tới thời điểm hiện tại, khi xâm
nhập vào một thiết bị đích, ransomware bắt đầu mã hóa các tệp với phần mở rộng
‘.lilocked’.



Sau đó, nó đặt một bản sao ghi chú tiền chuộc ‘#
README.lilocked’ vào mỗi thư mục mã hóa. Ghi chú này sẽ điều hướng nạn nhân đến
trang web Tor của những kẻ tấn công để buộc họ phải trả tiền chuộc.



Trang web này đồng thời cũng yêu cầu khách truy cập nhập một mã khóa (key)
được đề cập trong ghi chú tiền chuộc.



Các khoản tiền chuộc vẫn nằm trong khoảng giới hạn trung bình
‘có thể chi trả’, dao động trong khoảng từ 0.01 đến 0.03 Bitcoin (khoảng 100 đến
300 đô la).



Điều khiến Lilu khác biệt so với các ransomware khác là nó không mã hóa các tệp hệ thống. Thay vào đó, về cơ bản nó nhắm vào một tập hợp con nhỏ của các phần mở rộng tệp, chẳng hạn như các tệp .shtml, .jpg và php.ini (như được quan sát từ các mẫu).



Hiện tại, do vẫn chưa xác định được vectơ tấn công của ransomware nên chủ sở hữu của các máy chủ (server owner) cần đảm bảo tăng cường các biên pháp bảo mật tối đa để ngăn chặn nguy cơ có thể xảy ra của các cuộc tấn công này.



Theo Latest Hacking News – SecurityDaily tổng hợp
The post Lilocked (Lilu): Ransomware mới mã hóa các tệp tin của máy chủ trên diện rộng appeared first on SecurityDaily .