2016: el año del ransomware ha visto variantes draconianas de ransomware. Algunos llegaron en forma de encriptación robusta, mientras que otros pasaron por alto las murallas de seguridad más fuertes. En mayo de este año, otro sistema operativo muy unido fue secuestrado por una variante de ransomware. Esta vez fue linux computadoras operadas que caen presas del astuto programa.
(Nota: este es otro sistema operativo seguro engañado por Ransomware, después de Mac).
Para empezar, los ladrones han llamado a la variante como Troyano Rex Linux. El troyano está escrito en Go y utiliza CVE-2014-3704 para capturar sitios web de Drupal. A diferencia de otros, Rex Linux tiene más armas para atacar a los usuarios y ha sufrido muchas actualizaciones desde que apareció por primera vez. Se infiltra de 5 maneras diferentes: vector de ataque, minería de Bitcoin, comunicación C&C, Ransom-Armada Collective y DDoS. Ahora es capaz de infectar plataformas CMS, se puede transmitir a través de una botnet avanzada basada en P2P y puede propagarse fácilmente a otros servidores y dispositivos vulnerables en la red local.
- Vector de ataque: Este tipo de ataque simplemente busca servicios vulnerables en Internet a través de bots. Luego deja caer el malware en el servidor, que a su vez se comunica con otros bots a través de P2P. De ahora en adelante, el malware se transmite al sistema del usuario. Aparte de esto, el malware Rex explota a través de muchos otros medios. Estos incluyen Drupal, WordPress, Magento y Misc.
- Drupal se explota con CVR-2014-3704. Además, el malware agrega otra cuenta de administrador del sitio web, mientras bloquea la original. Bloquea mordazmente todas las publicaciones del blog, mientras deja caer una nota en el casillero del sitio web, carga y ejecuta a Rex.
- WordPress es otro objetivo importante de Rex, junto con otros CMS.
- Magento Los ataques son algo similares a los ataques de Drupal. Rex busca ShopLift RCE, crea una nueva cuenta de administrador y ejecuta Rex en la página web.
- Minería Bitcoin: El malware es capaz de minar Bitcoin. Es un proceso de sumar registros de transacciones al libro mayor público anterior de Bitcoin. En otras palabras, es una cadena de transacciones y, por lo tanto, se llama blockchain. Esta cadena también ayuda a confirmar los procedimientos de transacción en cada nivel. Aunque el troyano está realizando esta técnica de alto nivel, su proceso aún se desconoce.
- Comunicación C&C: El malware Rex infecta de forma peculiar muchos otros sistemas a través de la comunicación C&C. Precisamente, el sistema central es atacado al principio y luego, el kit de explotación se transmite a otros sistemas.
- DDoS: El troyano no solo ha limitado sus actividades a la infección de Ransomware, sino que también amenaza brutalmente a otros webmasters. Astutamente emite una advertencia para pagar el rescate, de lo contrario, el ataque Ransomware se vuelve operativo. Este es otro esquema astuto de los delincuentes para robar el dinero del rescate de los usuarios inocentes. Puede ver la captura de pantalla original de la advertencia a continuación.
(Fuente de la imagen: news.softpedia.com)
- Ransom- Armada Collective: Esto es muy similar al ataque DDoS. Es una banda de ladrones que atormenta a los usuarios para que paguen un rescate, de lo contrario, su sistema se bloquearía y perderían el acceso a sus datos.
Tal como está, Linux Ransomware se está acelerando a un ritmo rápido. Las únicas formas de esquivar el Ransomware es manteniendo una copia de seguridad segura de los datos, junto con la actualización adecuada de todo el software, los programas y las aplicaciones instaladas en el sistema. La actualización adecuada del software no proporcionará ninguna vulnerabilidad al malware en primer lugar y la copia de seguridad de los datos garantizará la protección de todos los datos.
¡Sé proactivo y evita los ataques de Ransomware!