Tausende von Servern, die mit neuer Lilocked (Lilu) Ransomware infiziert sind

Tausende von Webservern wurden infiziert und ihre Dateien von einem neuen Ransomware-Stamm namens Lilocked (oder Lilu) verschlüsselt. Seit Mitte Juli gibt es Infektionen, die sich in den letzten zwei Wochen verschärft haben. Nach aktuellen Erkenntnissen scheint die Lilocked-Ransomware nur auf Linux-basierte Systeme abzielen.

Erste Berichte datieren auf Mitte Juli, nachdem einige Opfer die Lilocked Lösegeldnotiz/-forderung auf ID Ransomware hochgeladen hatten, einer Website zur Identifizierung des Namens der Lösegeldsoftware, die das System eines Opfers infiziert hat.

Wie die Lilocked-Bande Server durchbricht und deren Inhalte verschlüsselt, ist derzeit unbekannt. Ein Thread in einem russischsprachigen Forum stellt die Theorie auf, dass Gauner auf Systeme mit veralteter Exim (E-Mail)-Software abzielen könnten. Es wird auch erwähnt, dass es der Ransomware gelungen ist, mit unbekannten Mitteln Root-Zugriff auf Server zu erhalten.

Server, die von dieser Ransomware betroffen sind, sind leicht zu erkennen, da die meisten ihrer Dateien verschlüsselt sind und eine neue Dateierweiterung ".lilocked" tragen - siehe Bild unten. Eine Kopie der Lösegeldnotiz (namens #README.lilocked) ist in jedem Ordner verfügbar, in dem die Lösegeldsoftware Dateien verschlüsselt.

Die Benutzer werden zu einem Portal im Dark Web umgeleitet, wo sie aufgefordert werden, einen Schlüssel von der Lösegeldforderung einzugeben. Hier zeigt die Lilocked-Bande eine zweite Lösegeldforderung und bittet die Opfer um 0,03 Bitcoin (etwa 325 Dollar). Lilocked verschlüsselt keine Systemdateien, sondern nur eine kleine Teilmenge von Dateierweiterungen wie HTML, SHTML, JS, CSS, PHP, INI und verschiedene Bilddateiformate.

Das bedeutet, dass infizierte Server weiterhin normal laufen. Laut dem französischen Sicherheitsforscher Benkow hat Lilocked mehr als 6.700 Server verschlüsselt, von denen viele indiziert und in den Google-Suchergebnissen zwischengespeichert wurden. Allerdings wird vermutet, dass die Zahl der Opfer viel höher ist. Nicht alle Linux-Systeme betreiben Webserver, und es gibt viele andere infizierte Systeme, die nicht in den Google-Suchergebnissen indiziert wurden.

Da der anfängliche Einstiegspunkt für diese Bedrohung nach wie vor ein Rätsel bleibt, ist es unmöglich, Serverbesitzern, die empfohlen werden, eindeutige Passwörter für alle ihre Konten zu verwenden und Anwendungen mit Sicherheitspatches auf dem neuesten Stand zu halten, etwas anderes als allgemeine Sicherheitshinweise zu geben.

Die Lilocked-Bande antwortete nicht auf eine Anfrage nach einem Kommentar an die E-Mail-Adresse, die sie in der Lösegeldforderung aufführt.