Un nuevo ransomware que infecta servidores Linux: JungleSec

 In Actualidad

El malware ha sido diseñado para ser capaz de infectar a aquellos servidores Linux que cuenten con una interfaz IPMI no securizada Una vez que los ciberdelincuentes conseguían acceder al sistema, descargaban y compilaban ccrypt para cifrar todos los ficheros del servidor y poder pedir un rescate.

Este nuevo ransomware que ha sido bautizado como ‘JungleSec‘, fue detectado por investigadores de BleepingComputer el pasado mes de Noviembre, y está diseñado para infectar servidores Linux con IPMI (Intelligent Platform Management Interface) configurada con la contraseña por defecto o desactivada.

IPMI consiste en un conjunto de especificaciones de interfaces que permiten capacidades de administración y monitorización en un ordenador independientemente de la CPU, firmware y sistema operativo. Esto implica que una interfaz IPMI que no haya sido configurada puede dar acceso remoto al sistema a los hackers, otorgándoles así control total sobre el servidor Linux.

En el caso de JungleSec, los investigadores descubrieron que los ciberdelincuentes habían usado una interfaz IPMI para acceder a los servidores y posteriormente instalar el malware. En algunos casos, la interfaz IPMI estaba configurada con la contraseña por defecto, mientras que en otros el usuario ‘Admin’ de la interfaz estaba desactivado, por lo que todo indica que los hackers se sirvieron de alguna alguna vulnerabilidad en el sistema IPMI para acceder.

Una vez estaban dentro del sistema a través de la interfaz IPMI, los atacantes descargaban y compilaban ccrypt, que en última instancia usaban para cifrar todos los ficheros del servidor. Este era el objetivo final, ya que con los archivos cifrados, dejaban un fichero denominado ‘ENCRYPTED.md’ que contenía los pasos que debían dar para realizar el pago del rescate y poder recuperar así sus archivos. Cabe destacar que en este caso, hay sospechas de que algunas de sus víctimas que pagaron el rescate de sus datos, no recibieron respuesta alguna del atacante.

Recommended Posts