Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareVulnerabilità

Un nuovo tipo di ransomware attacca i server Linux

Linux.Encoder  Magento  ransomware   mercoledì, 11 novembre 2015

Il 6 novembre scorso, la società di sicurezza russa Dr. Web ha individuato un nuovo esemplare di ransomware, denominato Linux.Encoder.1, che prende di mira i server con sistema operativo Linux.

Il malware viene caricato sui sistemi bersaglio sfruttando principalmente una vulnerabilità nota del software Magento, un’applicazione per e-commerce piuttosto diffusa sul Web. Questa vulnerabilità è già stata risolta dal produttore di questo applicativo, ma è probabile che moltissime versioni non aggiornate siano tuttora in uso su siti in esercizio.

Una volta lanciato con privilegi di amministratore, il malware cifra tutti i file nelle directory seguenti:

  • /home
  • /root
  • /var/lib/mysql
  • /var/www
  • /etc/nginx
  • /etc/apache2
  • /var/log

Successivamente, vengono cifrati tutti i file nelle directory home degli utenti. Infine, a partire dalla directory da cui è stato lanciato, il malware esplora ricorsivamente tutto il file system della macchina cifrando i file contenuti nelle directory il cui nome inizia con una delle stringhe seguenti:

  • public_html
  • www
  • webapp
  • backup
  • .git
  • .svn

Vengono cifrati solamente i file la cui estensione è una delle seguenti: “.php”, “.html”, “.tar”, “.gz”, “.sql”, “.js”, “.css”, “.txt” “.pdf”, “.tgz”, “.war”, “.jar”, “.java”, “.class”, “.ruby”, “.rar” “.zip”, “.db”, “.7z”, “.doc”, “.pdf”, “.xls”, “.properties”, “.xml” “.jpg”, “.jpeg”, “.png”, “.gif”, “.mov”, “.avi”, “.wmv”, “.mp3” “.mp4”, “.wma”, “.aac”, “.wav”, “.pem”, “.pub”, “.docx”, “.apk” “.exe”, “.dll”, “.tpl”, “.psd”, “.asp”, “.phtml”, “.aspx”, “.csv”.

Per cifrare i file, il malware utilizza una chiave simmetrica AES (Advanced Encryption Standard) a 128-bit generata localmente. La chiave simmetrica viene a sua volta cifrata mediante un algoritmo di cifratura asimmetrico (RSA) e inserita all’interno del file, assieme al vettore di inizializzazione utilizzato da AES. Ai file cifrati viene aggiunta l’estensione “.encrypted”. In ogni directory che contiene i file cifrati, il malware memorizza un file di testo (README_FOR_DECRYPT.txt) contenente la richiesta di riscatto e le istruzioni per il pagamento (vedi immagine).

Messaggio di riscatto di Linux.Encoder.1

Normalmente a questo punto l’unico modo per riottenere i file originali, in assenza di un backup, sarebbe quello di pagare quanto richiesto dai cyber-criminali, in questo caso 1 Bitcoin, equivalente a circa 300€. Fortunatamente, i ricercatori di Bitdefender hanno scoperto un difetto di progettazione nel codice di questo ransomware, relativo alle modalità con cui vengono generati sia le chiavi AES, sia i vettori di inizializzazione, che consente di recuperare le chiavi AES senza la necessità di decifrarle con la chiave privata RSA che si trova unicamente nelle mani dei malfattori.

Bitdefender ha anche messo a disposizione per il download uno script Python che ripristina automaticamente i file cifrati da questo ransomware al loro stato originale, unitamente ad istruzioni dettagliate su come utilizzarlo.

Anche se questa minaccia appare quindi al momento meno grave di quanto potenzialmente prevedibile, è estremamente probabile che la successiva generazione di Linux.Encoder risolva la debolezza riscontrata nella generazione delle chiavi e che nuove vulnerabilità di sistemi e applicativi Linux possano essere scoperte e sfruttate per veicolare questo o altri malware similari.

Per questo si raccomanda ai sistemisti e ai gestori di server Linux di utilizzare sistemi di backup e soluzioni di sicurezza specifiche per difendere i dati e le applicazioni Web e di aggiornare regolarmente il sistema e gli applicativi, applicando le patch di sicurezza non appena vengono rilasciate dai rispettivi produttori.

Notizie correlate

Aggiornamenti di sicurezza critici per Magento

1 aprile 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 37 vulnerabilità, di cui 4 critiche e altre 4 di gravità elevata.Leggi tutto

“Anatova”: nuova minaccia ransomware colpisce anche in Italia

28 gennaio 2019

I ricercatori di sicurezza di McAfee hanno individuato la nuova famiglia di ransomware Anatova, ritenuta una seria minaccia per il prossimo futuro.Leggi tutto

Aggiornamenti di sicurezza critici per Magento

30 novembre 2018

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono diverse vulnerabilità di cui tre critiche e altre 10 di gravità elevata.Leggi tutto