El ransomware es uno de los tipos de malware más peligrosos de los últimos tiempos. Cuando este malware infecta a un usuario automáticamente comienza a cifrar todos sus datos de manera que la única forma de recuperarlos sea mediante el pago de un “rescate“, sin la garantía de que, aunque paguemos a estos piratas, recibamos la clave de descifrado.

Hasta ahora, este tipo de malware solo afectaba a los usuarios de Windows, quienes además tenían bastante complicado el poder defenderse de esta amenaza ya que es difícil de identificar y eliminar incluso por las principales firmas antivirus, sin embargo, es posible que los usuarios de Windows ya no sean los únicos afectados por esto.

Doctor Web, importante empresa de seguridad rusa, ha detectado la primera amenaza de ransomware para los usuarios de Linux, especialmente enfocado a infectar y secuestrar todos los servidores utilizados para alojar páginas web. Esta amenaza, llamada por la empresa de seguridad como Linux.Encoder.1, está escrita en lenguaje C y utiliza la biblioteca PolarSSL para establecer conexiones seguras imposibles de capturar para posteriormente instalarse como servicio, o demonio, del sistema antes de empezar con su temida función.

Una vez funcionando en el sistema, este nuevo malware analiza el sistema de archivos en busca de todos los directorios utilizados principalmente para el desarrollo y el alojamiento de páginas web. Una vez los detecta empieza a cifrar todos los archivos que se encuentran alojados allí, junto a todos los documentos, ficheros personales y archivos multimedia que se encuentren en el ordenador o servidor. Para el cifrado de utiliza un algoritmo AES-CBC-128.

Cuando finaliza su tarea crea un fichero de texto con las instrucciones necesarias para recuperar los archivos, así como la dirección de pago y la cantidad a ingresar que, en este caso, es 1 Bitcoin.

Los usuarios domésticos también en peligro ante este ransomware

Aunque los principales objetivos de este ransomware son los servidores de páginas web, los usuarios no están libres de peligro. Según afirman los expertos de seguridad, este malware puede ser portado fácilmente para infectar y atacar a todo tipo de equipos, por ejemplo, a dispositivos NAS que cada vez son más habituales en entornos domésticos a modo de servidor o sistema de almacenamiento masivo en red.

Por suerte, no todo es tan sencillo como parece. Gracias al sistema de permisos de Linux, para ejecutar este malware en un servidor o equipo Linux es necesario que se haga con permisos de root, por lo que si tenemos controlada la cuenta de superusuario lo más fácil es que no podamos vernos afectados por este malware, a menos que se aproveche una vulnerabilidad de escalada de privilegios o lo ejecutemos manualmente con dichos permisos.

¿Qué opinas sobre este nuevo ransomware? ¿Crees que Linux ya no es un sistema operativo tan seguro como solía ser?

Fuente: softzone

Quizá te interese: