Por si la proliferación del ransomware en computadoras y smartphones no fuera suficiente, ahora también los servidores web son blanco de esta amenaza, que se infiltra en sitios a través de vulnerabilidades conocidas en sus plugins o en el software utilizado por el webmaster.
Detectado por ESET como Linux/Filecoder.A, este tipo de ransomware reportado por la firma Dr. Web busca hacerse de archivos, páginas e imágenes del sitio afectado basado en Linux para pedir a su administrador el pago de un rescate de 1 bitcoin (aproximadamente 300 dólares, según The Hacker News) a cambio de descifrarlos.
En concreto, la amenaza cifra archivos con extensiones conocidas para desarrollar un sitio web, y funciona correctamente solo si se ejecuta con permisos de root. Una vez que está corriendo el servicio, cifra y borra los archivos originales, utilizando el algoritmo de RSA AES de 2048 bits y cambiando las extensiones a “.encrypt”. De este modo, la víctima visualiza un mensaje que le solicita el pago de 1 bitcoin por el rescate y recuperación de su información, mediante un enlace a la red Tor.
¿Qué tipo de archivos se ven afectados?
Este ransomware busca cifrar archivos pertenecientes a las carpetas home, root, MySQL, Apache, git, svn, webapp, www, public_html y backup, que normalmente están presentes en los servidores y contienen la mayor porción de información que un visitante utiliza.
A su vez, curiosamente, cifra archivos de desarrollo web como son las extensiones .JS, .CSS, .properties, .XML, .ruby, .PHP, .HTML, .GZ, y .ASP. Por otra parte, como cualquier otro código malicioso de esta familia, afecta a archivos más comunes como .RAR, .7Z, .XLS, .PDF, .DOC, .AVI, .MOV, .PNG, y .JPG. Esto significa que no solo busca los que alojen información sino también a los que contengan código funcional de la página afectada.
Posibles escenarios de infección del ransomware Linux/Filecoder.A
Si bien el método y objetivo del cifrado de archivos o información es el mismo en todos los casos de ransomware, las diferencias en este caso radican en el nivel de daño que puede causar al proyecto web de los desarrolladores o la compañía. Diego Perez, Malware Analyst de ESET, señala dos escenarios:
1. Infección al servidor en donde se encuentra el sitio web
En caso de que el código malicioso haya logrado infectar al servidor en donde se encuentra la versión estable del sitio web, el daño que se va reflejar a simple vista es la imposibilidad de ingresar al mismo, ya que no se podrán leer los archivos. Podríamos decir que el daño no lo tendría el equipo de desarrollo sino el servicio de hosting que fue contratado para subir el sitio web.
En este caso se debería informar a los responsables del servidor para que realicen una exploración y eliminen el código malicioso. Luego del proceso antes mencionado, se debería volver a subir los archivos correspondientes y así el sitio web estaría disponible para los usuarios.
2. Infección al equipo o compañía de desarrollo del sitio web
En este escenario el daño que el código malicioso lograría es aún mayor que en el caso anterior. ¿Por qué? Porque el ransomware cifraría todo el proyecto junto con los archivos de la empresa desarrolladora del sitio web, y en caso de que no se tuviera un respaldo o backup de la información secuestrada, el daño sería crítico.
Ante amenazas como este ransomware que apunta a servidores web, lo necesario es contar con una solución de seguridad antivirus, protocolos y procesos de seguridad adecuados y un backup diario de la información sensible. Por otro lado, como siempre afirmamos, no es aconsejable pagar el rescate, aunque el FBI diga lo contrario.