JungleSec, un nuevo ransomware que infecta servidores Linux
- Endpoint
El malware está diseñado para infectar aquellos servidores Linux con una interfaz IPMI configurada con la contraseña por defecto o desactivada. Una vez accedían al sistema, los atacantes descargaban y compilaban ccrypt para cifrar todos los ficheros del servidor y pedir un rescate.
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
Investigadores de BleepingComputer han detectado un nuevo malware tipo ransomware utilizado para infectar servidores Linux. El ransomware, que recibe el nombre de ‘JungleSec‘, fue detectado en Noviembre y está diseñado para infectar servidores con IPMI (Intelligent Platform Management Interface) no securizado.
IPMI es un conjunto de especificaciones de interfaces que proporcionan capacidades de administración y monitorización en un ordenador independientemente de la CPU, firmware y sistema operativo. Una interfaz IPMI no configurada puede dar acceso remoto al sistema a los atacantes, lo que les daría control total sobre el servidor.
Los investigadores descubrieron que los atacantes habían usado una interfaz IPMI para acceder a los servidores y posteriormente instalar el malware. En algunos casos, la interfaz IPMI estaba configurada con la contraseña por defecto, mientras que en otros el usuario ‘Admin’ de la interfaz estaba desactivado, por lo que se sospecha que los atacantes pudiesen acceder usando alguna vulnerabilidad en el sistema IPMI.
Una vez accedían al sistema a través de la interfaz IPMI, los atacantes descargaban y compilaban ccrypt, que finalmente usaban para cifrar todos los ficheros del servidor. Una vez cifrados los archivos, los atacantes dejaban un fichero llamado ‘ENCRYPTED.md’ con las instrucciones para realizar el pago del rescate, cifrado en 0,3 bitcoins. Hay varios informes de víctimas que pagaron el ransomware, pero no recibieron una respuesta del atacante y no han podido recuperar sus datos.