Virus Fairware ataca a servidores Linux

Los administradores de servidores Linux están informando sobre ataques que provocan la desaparición de la carpeta web del servidor y la inhabilitación indefinida de sitios web.

Comentarios en los foros del sitio web BleepingComputer corroboran varios de estos ataques, especialmente intrusiones mediante ataques de fuerza bruta contra SSH, según comentaba una de las víctimas. En cada caso, la carpeta web es eliminada, mientras que el archivo léeme (read_me) permanece pero con un enlace a una página Pastebin que contiene un mensaje exigiendo un rescate. El rescate consiste en dos Bitcoins a cambio de la recuperación segura de los archivos.

Aumentando la confusión y desesperación ante estos ataques, está el hecho de que los ciberpiratas afirman haber infectado el servidor Linux con un programa malicioso llamado Fairware, al que denominan ransomware, o programa secuestrador.

Sin embargo, de acuerdo con Lawrence Abrams de BleepingComputer, no se trata necesariamente de una representación precisa de lo que está ocurriendo.

“Si el atacante carga un programa/rutina para realizar el ‘ataque’, entonces puede tratarse de un ransomware. Por desgracia, nuestra información es limitada por el momento”, apuntó Abrams. “Todos los informes indican que los servidores están siendo hackeados, pero todavía no he podido verificar estos informes”.

El mensaje que exige el rescate incluye una dirección Bitcoin y les ofrece a las víctimas dos formas de pago, en caso contrario se les amenaza con filtrar sus archivos.

“¡Somos los únicos en el mundo que pueden devolverte tus archivos!”, dice el mensaje. “¡Cuando hackeamos tu servidor, ciframos los archivos y los enviamos a un servidor bajo nuestro control!”

El mensaje también contiene una dirección de correo de “soporte”, pero les exige a las víctimas que no les pidan a los ciberpiratas que prueben que poseen los archivos perdidos.

“No estoy seguro de qué están haciendo con los archivos en este momento”, añadió Abrams. “Puesto que borraron los archivos, si es que los guardan, tiene más sentido que los hayan comprimido y enviado a un servidor en lugar de tomarse la molestia de cifrarlos y realizar un seguimiento de llaves individuales”.

A diferencia de los programas ransomware tradicionales que explotan vulnerabilidades en los equipos, o que engañan a la víctima para que ejecute un archivo malicioso, no se ha encontrado evidencia de ellos en estos ataques.

Una de las víctimas que comentó en el foro de BleepingComputer dijo que gran parte de su servidor Linux permaneció intacto, incluyendo las bases de datos. El archivo léeme (read_me), añade el comentario, permaneció en la carpeta raíz. La eliminación de los archivos y la negativa a responder ante pedidos de prueba son conductas poco comunes entre los ciberpiratas que buscan obtener un rescate.

“Podría, sin duda, tratarse de una estafa, pero sería una mala decisión empresarial para los atacantes”, señaló Abrams. “Cuando los atacantes con programas ransomware no devuelven lo prometido después del pago del rescate, su reputación sufre y nadie más pagará en futuras amenazas”.

De todas maneras, las víctimas que sufren un ataque de ransomware supuestamente verdadero y son amenazadas con publicar en Internet sus datos robados pueden ponerse nerviosas y estar dispuestas a pagar el rescate exigido. Fairware no es el primero en hacer esta amenaza, pues el pasado mes de noviembre, el ransomware conocido como Chimera también amenazó con publicar en Internet los datos que había cifrado. Sin embargo, Chimera limitó sus ataques contra compañías alemanas. Se trató de un crypto-ransomware que se comportaba como muchas otras familias de este tipo de programas, cifrando los datos almacenados localmente y los datos almacenados en dispositivos de red.

“Aunque ninguna de las víctimas del ransomware debería pagar el rescate, si usted pretende hacerlo, le sugerimos que primero les pida prueba de que poseen sus archivos”, concluyó Abrams.

Fuentes: Threatpost