Lilocked (Lilu) Ransonware. Migliaia di Server Linux sotto attacco!!

Lilocked (Lilu) Ransomware.
Migliaia di Server Linux sotto attacco!!

Stiamo assistendo in questo periodo ad una campagna ransomware rivolta ai Server Linux che ha colpito, fino ad ora, varie migliaia di Server Web. Il ransomware, chiamato “Lilocked” o “Lilu”, è stato individuato la prima volta il 20 luglio scorso quando un utente ha fatto l’upload di un file con estensione .lilocked sul servizio online ID Ransomware di “Michael Gillespie” il quale poi ne ha twittato la notizia.

Ad oggi non si hanno campioni del ransomware, se ne conosce solamente l’estensione che viene aggiunta ai file che crittografa (come abbiamo visto .lilocked) e il file che lascia in ogni cartella in cui cifra i file che è chiamato “#README.lilocked”. Questo file è la nota di riscatto con la quale il criminale avvisa l’utente di aver cifrato i suoi documenti/file e lo istruisce su come averne la restituzione. Dovrà recarsi su un sito nel Deep Web, inserire il codice che gli è stato fornito nella stessa nota, e “comprare” la chiave di decifratura pagando una “piccola quantità di Bitcoin” (0,010 BTC, circa 100 euro).

Il file “README.lilocked”

La pagina che si apre collegandosi al sito fornito dal criminale nel Deep Web (fonte www.bleepingcomputer.com)

La richiesta di riscatto e l’indirizzo email per contattare il criminale (fonte www.bleepingcomputer.com)

BleepingComputer ha provato a contattare i criminali all’indirizzo fornito nella nota di riscatto ([email protected]), ponendo alcune domande, ma ad oggi, questi non hanno risposto.

Poiché i target conosciuti sono Server Web è possibile calcolarne il numero approssimativo e visualizzare i file crittografati semplicemente facendo una ricerca su Google del file “#README.lilocked”.

Nel momento in cui scriviamo Google restituisce circa 6300 risultati ma ovviamente occorre tenere in considerazione che alcuni sistemi hanno più link (ricordiamo che detto file è presente in ogni cartella dove Lilu è passato).

Siccome non è mai stato trovato un campione di questo ransomware non si conosce ufficialmente il modo in cui infetta i sistemi e neppure si ha la certezza che colpisca solo sistemi Linux o solo Server Web. Al momento da quello che si può leggere online sia da parte di alcune vittime sia da parte dei ricercatori che ci stanno lavorando, sembra che il ransomware sfrutti un exploit per versioni di Exim obsolete, ma anche versioni obsolete di WordPress.

Relativamente a Exim è stato emanato nel momento in cui stiamo scrivendo un alert del CERT Nazionale Italia che informa di una vulnerabilità critica (CVE-2019-15846) in tale software il quale permetterebbe l’esecuzione di codice arbitrario da remoto con privilegi di root. Il produttore ha confermato la presenza della vulnerabilità fino alla versione 4.92.1. Per risolvere il problema è opportuno aggiornare Exim alla versione 4.92.2 o guardare le eventuali soluzioni di mitigazione. Tale vulnerabilità potrebbe essere quella sfruttata dal ransomware Lilocked per infettare i sistemi target.

Si hanno notizie che tale minaccia sia ancora attiva e anzi che gli attacchi stiano diventando più frequenti, infatti anche in data 06 settembre un utente della rete twittava notizie relative a tale infezione.

Riassumiamo gli Indicatori di Compromissione (IOCs):
File relativi all’infezione:#README.lilocked
E-Mail associata:[email protected]
Sito per il pagamento:y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion

Ad oggi non si conosce un modo per decifrare i file crittografati da Lilocked.
Per tale motivo e dalle poche informazioni che si hanno possiamo solo consigliare nuovamente di tenere aggiornati tutti i sistemi e tutte le applicazioni e utilizzare password lunghe e complesse ma anche di perdere, grazie a questa ennesima dimostrazione, tutte le eventuali false convinzioni che si hanno sul credere più sicuri determinati sistemi (Mac, Linux, …) rispetto ad altri.

Inoltre è opportuno che gli amministratori di sistemi Exim aggiornino quanto prima il loro software alla versione 4.92.2 o, in alternativa, applichino le soluzioni di mitigazione proposte dal produttore.

Ribadiamo che tutto ciò che è connesso ad internet è vulnerabile.

Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub