CTB-Locker afecta a servidores Linux

Share this…

Las alarmas han saltado cuando se han localizado algunos sitios web que en principio eran legítimos y distribuían la amenaza. Otros sin embargo han sufrido un deface de su contenido en el que se anunciaba que el servidor Linux estaba afectado por el ransomware CTB-Locker y se ofrecían algunas instrucciones para recuperar el acceso a los archivos.

La verdad es que hasta el momento los expertos en seguridad no saben a ciencia cierta que buscan los propietarios de esta amenaza infectando este tipo de equipos. En un principio se creyó que los pretendían era que los usuarios particulares descargasen la amenaza al publicarla en sitios web que a priori poseen contenido legítimo. Sin embargo, al observar que posteriormente en varios sitios se ha producido un deface y se ha llevado a cabo el cifrado parcial de parte de los archivos ahora creen que en realidad lo que se busca es que los propietarios de los servidores paguen por recuperar el acceso a los archivos.

Pero hay algunos aspectos que no terminan de convencer a los expertos en seguridad. Sin ir más lejos, hay que decir que CTB-Locker no es una amenaza nueva y que hasta este momento estaba centrada en la infección de equipos con sistema operativo Windows. Sin embargo, los servidores infectados poseen Debian o Fedora como distribución, por lo que piensan que la amenaza no podría ser la que en un principio se ha hecho creer mediante la documentación que se visualiza tras el deface en algunas webs afectadas.

Hoy en día cada vez son más las amenazas que en un principio se crean para un sistema operativo y posteriormente sus propietarios las reconvierten para que sirvan para afectar a otros.

Pero todavía queda algo mucho más extraño. De ser un ransomware, es probable que el archivo index.html o index.php haya sido renombrado, siendo imposible mostrar una página web, algo que no es el caso.

CTB-Locker afecta servidores Linux

Sea o no CTB-Locker, se trata de una nuevo tipo de ransomware

Los expertos en seguridad creen que este puede servir como un punto de inflexión para este tipo de amenazas. Cuando se producía el hackeo de un sitio web, se llevaba a cabo el robo de información y así obtener beneficio tras la venta de los datos en el mercado negro. Sin embargo, ahora todo parece que va a cambiar, y una vez se haya producido el hackeo de un sitio web se utilizará un ransomware para tratar de alguna manera de percibir una cantidad de dinero por la liberación los archivos que forma parte del entramado de código HTML y PHP.

Fuente:https://www.redeszone.net/