Nueva amenaza de ransomware borra archivos de los servidores web de Linux

Un programa de ransomware borra archivos de servidores web y pide a los administradores dinero para recuperarlos, aunque no está claro si los atacantes realmente cumplen su promesa.

Conocido como FairWare, el programa malicioso no es el primer ransomware dirigido a los servidores web de Linux, pero sí el primero que borra archivos. Otro programa llamado Linux.Encoder apareció en noviembre y cifraba archivos, pero sus deficiencias permitía a los investigadores crear herramientas de recuperación.

Después que los atacantes comprometen un servidor web y utilizan FairWare, el ransomware borra toda la carpeta web y exige dos bitcoins para restaurarla, dijo Lawrence Abrams, fundador del foro de soporte técnico BleepingComputer.com, en una publicación.

En la nota de rescate que los atacantes dejan en el servidor se menciona que los archivos fueron cifrados y subidos a otro servidor bajo su control antes de ser borrados del servidor.

“Somos los únicos en el mundo que pueden regresarte tus archivos”, se lee en la nota. El pago debe realizarse en dos semanas.

No hay evidencia aún que los atacantes tengan copias de los archivos borrados, así que los usuarios deben pensar bien si realizan el pago. La nota de rescate incluye una dirección de correo electrónico para contactarlos, pero advierten que preguntas como “¿puedo ver primero mis archivos?” serán ignoradas.

Muchos operadores de servicio deciden no pagar porque los sitios web suelen tener copias de respaldo en algún lugar. Los proveedores de alojamiento web suelen realizar un respaldo diario o semanal al ser parte del servicio.

Los administradores web que se encargan de sus propios servidores deben tener en mente que los respaldos deben ser resguardados en un lugar fuera del sitio, no en el servidor de producción en el cual pueden verse afectadas si se ve comprometido el servidor.

Incluso si se tuviera un respaldo disponible, una infección de ransomware debe ser motivo de preocupación y se debe pedir al administrador del servidor que investigue la debilidad que permitió que el incidente del servidor se produjera. Las posibles causas pueden incluir vulnerabilidades en el sitio web o credenciales administrativas robadas.

Fuente: Seguridad.unam.mx

About Gustavo Genez 410 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.