[opensuse-es] Ramsomware en Linux
Hola, estoy leyendo que ya hay versiones de ramsomware que afectan a servidores linux: http://www.genbeta.com/linux/aparece-un-ransomware-que-afecta-a-linux-esto-e... En mi caso tengo servidores web en la empresa con SLES 11 y Tomcat, publicados a traves del puerto 80 y otros. ¿cual es el riesgo al que estan expuestos y como deberiamos actuar para protegerlos? Por supuesto tengo copias de seguridad, pero se trata de evitar la infeccion. Gracias. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2016-07-06 15:16, SATOF wrote:
Hola,
estoy leyendo que ya hay versiones de ramsomware que afectan a servidores linux:
http://www.genbeta.com/linux/aparece-un-ransomware-que-afecta-a-linux-esto-e...
El artículo no cuenta nada de como se produce el ataque, no sirve para nada. -- Cheers / Saludos, Carlos E. R. (from 13.1 x86_64 "Bottle" at Telcontar)
El día 6 de julio de 2016, 15:15, Carlos E. R. <robin.listas@telefonica.net> escribió:
On 2016-07-06 15:16, SATOF wrote:
Hola,
estoy leyendo que ya hay versiones de ramsomware que afectan a servidores linux:
http://www.genbeta.com/linux/aparece-un-ransomware-que-afecta-a-linux-esto-e...
Pero si, uno de los links del artículo: Detectado por ESET como Linux/Filecoder.A, este tipo de ransomware reportado por la firma Dr. Web busca hacerse de archivos, páginas e imágenes del sitio afectado basado en Linux para pedir a su administrador el pago de un rescate de 1 bitcoin (aproximadamente 300 dólares, según The Hacker News) a cambio de descifrarlos. En concreto, la amenaza cifra archivos con extensiones conocidas para desarrollar un sitio web, y funciona correctamente solo si se ejecuta con permisos de root. Una vez que está corriendo el servicio, cifra y borra los archivos originales, utilizando el algoritmo de RSA AES de 2048 bits y cambiando las extensiones a “.encrypt”. De este modo, la víctima visualiza un mensaje que le solicita el pago de 1 bitcoin por el rescate y recuperación de su información, mediante un enlace a la red Tor. http://www.welivesecurity.com/la-es/2015/11/09/linux-ransomware-que-apunta-a... Otro link de este ultimo: Tras analizar su proceso de infección a través de correos electrónicos con metodologías de Ingeniería Social, realizaremos un análisis más detallado del otro vector de propagación que utiliza, que hasta el día de hoy es la amenaza predilecta de los atacantes para propagar a Locky: un código malicioso detectado por las soluciones de ESET como JS/TrojanDownloader.Nemucod. Nemucod es un malware desarrollado en JavaScript y por lo tanto no tiene ninguna complicación para ser ejecutado en sistemas operativos Windows, gracias al Windows Script Host. Pero, ¿qué acciones realiza esta amenaza? En líneas generales, se encarga de descargar a Locky y efectuar su ejecución. http://www.welivesecurity.com/la-es/2016/05/20/nemucod-aliado-ransomware-loc... -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2016-07-08 02:22, Pinguino Patagonico wrote:
El día 6 de julio de 2016, 15:15, Carlos E. R. <robin.listas@telefonica.net> escribió:
On 2016-07-06 15:16, SATOF wrote:
Hola,
estoy leyendo que ya hay versiones de ramsomware que afectan a servidores linux:
http://www.genbeta.com/linux/aparece-un-ransomware-que-afecta-a-linux-esto-e...
Pero si, uno de los links del artículo:
A ver.
Detectado por ESET como Linux/Filecoder.A, este tipo de ransomware reportado por la firma Dr. Web busca hacerse de archivos, páginas e imágenes del sitio afectado basado en Linux para pedir a su administrador el pago de un rescate de 1 bitcoin (aproximadamente 300 dólares, según The Hacker News) a cambio de descifrarlos.
Vale, eso ya lo sabíamos. Pero antes de hacer eso tiene que entrar. ¿Como lo hace?
En concreto, la amenaza cifra archivos con extensiones conocidas para desarrollar un sitio web, y funciona correctamente solo si se ejecuta con permisos de root.
Pues claro.
Una vez que está corriendo el servicio, cifra y borra los archivos originales, utilizando el algoritmo de RSA AES de 2048 bits y cambiando las extensiones a “.encrypt”. De este modo, la víctima visualiza un mensaje que le solicita el pago de 1 bitcoin por el rescate y recuperación de su información, mediante un enlace a la red Tor.
¡Pero no dice como entra!
http://www.welivesecurity.com/la-es/2015/11/09/linux-ransomware-que-apunta-a...
Otro link de este ultimo:
Tras analizar su proceso de infección a través de correos electrónicos con metodologías de Ingeniería Social,
Eso no es un ataque a un servidor.
realizaremos un análisis más detallado del otro vector de propagación que utiliza, que hasta el día de hoy es la amenaza predilecta de los atacantes para propagar a Locky: un código malicioso detectado por las soluciones de ESET como JS/TrojanDownloader.Nemucod.
Nemucod es un malware desarrollado en JavaScript y por lo tanto no tiene ninguna complicación para ser ejecutado en sistemas operativos Windows,
Windows.
gracias al Windows Script Host. Pero, ¿qué acciones realiza esta amenaza? En líneas generales, se encarga de descargar a Locky y efectuar su ejecución.
http://www.welivesecurity.com/la-es/2016/05/20/nemucod-aliado-ransomware-loc...
Nada, todo eso no sirve de nada para saber como entran en el servidor y por tanto, que hacer para evitarlo. Dicen obviedades. -- Cheers / Saludos, Carlos E. R. (from 13.1 x86_64 "Bottle" at Telcontar)
El día 7 de julio de 2016, 22:58, Carlos E. R. <robin.listas@telefonica.net> escribió:
On 2016-07-08 02:22, Pinguino Patagonico wrote:
El día 6 de julio de 2016, 15:15, Carlos E. R. <robin.listas@telefonica.net> escribió:
On 2016-07-06 15:16, SATOF wrote:
Hola,
estoy leyendo que ya hay versiones de ramsomware que afectan a servidores linux:
http://www.genbeta.com/linux/aparece-un-ransomware-que-afecta-a-linux-esto-e...
Pero si, uno de los links del artículo:
A ver.
Detectado por ESET como Linux/Filecoder.A, este tipo de ransomware reportado por la firma Dr. Web busca hacerse de archivos, páginas e imágenes del sitio afectado basado en Linux para pedir a su administrador el pago de un rescate de 1 bitcoin (aproximadamente 300 dólares, según The Hacker News) a cambio de descifrarlos.
Vale, eso ya lo sabíamos. Pero antes de hacer eso tiene que entrar. ¿Como lo hace?
En concreto, la amenaza cifra archivos con extensiones conocidas para desarrollar un sitio web, y funciona correctamente solo si se ejecuta con permisos de root.
Pues claro.
Una vez que está corriendo el servicio, cifra y borra los archivos originales, utilizando el algoritmo de RSA AES de 2048 bits y cambiando las extensiones a “.encrypt”. De este modo, la víctima visualiza un mensaje que le solicita el pago de 1 bitcoin por el rescate y recuperación de su información, mediante un enlace a la red Tor.
¡Pero no dice como entra!
http://www.welivesecurity.com/la-es/2015/11/09/linux-ransomware-que-apunta-a...
Otro link de este ultimo:
Tras analizar su proceso de infección a través de correos electrónicos con metodologías de Ingeniería Social,
Eso no es un ataque a un servidor.
realizaremos un análisis más detallado del otro vector de propagación que utiliza, que hasta el día de hoy es la amenaza predilecta de los atacantes para propagar a Locky: un código malicioso detectado por las soluciones de ESET como JS/TrojanDownloader.Nemucod.
Nemucod es un malware desarrollado en JavaScript y por lo tanto no tiene ninguna complicación para ser ejecutado en sistemas operativos Windows,
Windows.
gracias al Windows Script Host. Pero, ¿qué acciones realiza esta amenaza? En líneas generales, se encarga de descargar a Locky y efectuar su ejecución.
http://www.welivesecurity.com/la-es/2016/05/20/nemucod-aliado-ransomware-loc...
Nada, todo eso no sirve de nada para saber como entran en el servidor y por tanto, que hacer para evitarlo. Dicen obviedades.
La posibilidad está en un CMS que posea ciertas vulnerabilidades y mal configurado. Por ejemplo, Drupal años atras, a pesar de que estaba considerado "uno de los mejores CMS", si uno no prestaba atención a la creación de usuarios nuevos, por defecto quedaban seteados en autorización automática, y con el perfil de administrador. Te puedes imaginar de lo que eso implica. Buen domingo! -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2016-07-10 13:42, Pinguino Patagonico wrote:
El día 7 de julio de 2016, 22:58, Carlos E. R. <> escribió:
Nada, todo eso no sirve de nada para saber como entran en el servidor y por tanto, que hacer para evitarlo. Dicen obviedades.
La posibilidad está en un CMS que posea ciertas vulnerabilidades y mal configurado. Por ejemplo, Drupal años atras, a pesar de que estaba considerado "uno de los mejores CMS", si uno no prestaba atención a la creación de usuarios nuevos, por defecto quedaban seteados en autorización automática, y con el perfil de administrador. Te puedes imaginar de lo que eso implica.
¡Jupe!
Buen domingo!
-- Cheers / Saludos, Carlos E. R. (from 13.1 x86_64 "Bottle" at Telcontar)
On 07/10/2016 01:42 PM, Pinguino Patagonico wrote:
El día 7 de julio de 2016, 22:58, Carlos E. R. <robin.listas@telefonica.net> escribió:
On 2016-07-08 02:22, Pinguino Patagonico wrote:
El día 6 de julio de 2016, 15:15, Carlos E. R. <robin.listas@telefonica.net> escribió:
On 2016-07-06 15:16, SATOF wrote:
Hola,
estoy leyendo que ya hay versiones de ramsomware que afectan a servidores linux:
http://www.genbeta.com/linux/aparece-un-ransomware-que-afecta-a-linux-esto-e...
Pero si, uno de los links del artículo:
A ver.
Detectado por ESET como Linux/Filecoder.A, este tipo de ransomware reportado por la firma Dr. Web busca hacerse de archivos, páginas e imágenes del sitio afectado basado en Linux para pedir a su administrador el pago de un rescate de 1 bitcoin (aproximadamente 300 dólares, según The Hacker News) a cambio de descifrarlos.
Vale, eso ya lo sabíamos. Pero antes de hacer eso tiene que entrar. ¿Como lo hace?
En concreto, la amenaza cifra archivos con extensiones conocidas para desarrollar un sitio web, y funciona correctamente solo si se ejecuta con permisos de root.
Pues claro.
Una vez que está corriendo el servicio, cifra y borra los archivos originales, utilizando el algoritmo de RSA AES de 2048 bits y cambiando las extensiones a “.encrypt”. De este modo, la víctima visualiza un mensaje que le solicita el pago de 1 bitcoin por el rescate y recuperación de su información, mediante un enlace a la red Tor.
¡Pero no dice como entra!
http://www.welivesecurity.com/la-es/2015/11/09/linux-ransomware-que-apunta-a...
Otro link de este ultimo:
Tras analizar su proceso de infección a través de correos electrónicos con metodologías de Ingeniería Social,
Eso no es un ataque a un servidor.
realizaremos un análisis más detallado del otro vector de propagación que utiliza, que hasta el día de hoy es la amenaza predilecta de los atacantes para propagar a Locky: un código malicioso detectado por las soluciones de ESET como JS/TrojanDownloader.Nemucod.
Nemucod es un malware desarrollado en JavaScript y por lo tanto no tiene ninguna complicación para ser ejecutado en sistemas operativos Windows,
Windows.
gracias al Windows Script Host. Pero, ¿qué acciones realiza esta amenaza? En líneas generales, se encarga de descargar a Locky y efectuar su ejecución.
http://www.welivesecurity.com/la-es/2016/05/20/nemucod-aliado-ransomware-loc...
Nada, todo eso no sirve de nada para saber como entran en el servidor y por tanto, que hacer para evitarlo. Dicen obviedades.
La posibilidad está en un CMS que posea ciertas vulnerabilidades y mal configurado. Por ejemplo, Drupal años atras, a pesar de que estaba considerado "uno de los mejores CMS", si uno no prestaba atención a la creación de usuarios nuevos, por defecto quedaban seteados en autorización automática, y con el perfil de administrador. Te puedes imaginar de lo que eso implica.
Me extraña eso que comentas de Drupal. Yo usé intensivamente Drupal 5, 6 y 7. Incluso la versión 4, creo recordar. En todas ellas el primer usuario se creaba como administrador (evidentemente, era el primero) y los demás no. De hecho, para configurar Drupal de modo que crease administradores por defecto era necesario instalar y configurar un módulo adicional. Saludos. -- Ancor González Sosa YaST Team at SUSE Linux GmbH -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 11 de julio de 2016, 4:47, Ancor Gonzalez Sosa <ancor@suse.de> escribió:
On 07/10/2016 01:42 PM, Pinguino Patagonico wrote:
El día 7 de julio de 2016, 22:58, Carlos E. R. <robin.listas@telefonica.net> escribió:
On 2016-07-08 02:22, Pinguino Patagonico wrote:
El día 6 de julio de 2016, 15:15, Carlos E. R. <robin.listas@telefonica.net> escribió:
On 2016-07-06 15:16, SATOF wrote:
Hola,
estoy leyendo que ya hay versiones de ramsomware que afectan a servidores linux:
http://www.genbeta.com/linux/aparece-un-ransomware-que-afecta-a-linux-esto-e...
Pero si, uno de los links del artículo:
A ver.
Detectado por ESET como Linux/Filecoder.A, este tipo de ransomware reportado por la firma Dr. Web busca hacerse de archivos, páginas e imágenes del sitio afectado basado en Linux para pedir a su administrador el pago de un rescate de 1 bitcoin (aproximadamente 300 dólares, según The Hacker News) a cambio de descifrarlos.
Vale, eso ya lo sabíamos. Pero antes de hacer eso tiene que entrar. ¿Como lo hace?
En concreto, la amenaza cifra archivos con extensiones conocidas para desarrollar un sitio web, y funciona correctamente solo si se ejecuta con permisos de root.
Pues claro.
Una vez que está corriendo el servicio, cifra y borra los archivos originales, utilizando el algoritmo de RSA AES de 2048 bits y cambiando las extensiones a “.encrypt”. De este modo, la víctima visualiza un mensaje que le solicita el pago de 1 bitcoin por el rescate y recuperación de su información, mediante un enlace a la red Tor.
¡Pero no dice como entra!
http://www.welivesecurity.com/la-es/2015/11/09/linux-ransomware-que-apunta-a...
Otro link de este ultimo:
Tras analizar su proceso de infección a través de correos electrónicos con metodologías de Ingeniería Social,
Eso no es un ataque a un servidor.
realizaremos un análisis más detallado del otro vector de propagación que utiliza, que hasta el día de hoy es la amenaza predilecta de los atacantes para propagar a Locky: un código malicioso detectado por las soluciones de ESET como JS/TrojanDownloader.Nemucod.
Nemucod es un malware desarrollado en JavaScript y por lo tanto no tiene ninguna complicación para ser ejecutado en sistemas operativos Windows,
Windows.
gracias al Windows Script Host. Pero, ¿qué acciones realiza esta amenaza? En líneas generales, se encarga de descargar a Locky y efectuar su ejecución.
http://www.welivesecurity.com/la-es/2016/05/20/nemucod-aliado-ransomware-loc...
Nada, todo eso no sirve de nada para saber como entran en el servidor y por tanto, que hacer para evitarlo. Dicen obviedades.
La posibilidad está en un CMS que posea ciertas vulnerabilidades y mal configurado. Por ejemplo, Drupal años atras, a pesar de que estaba considerado "uno de los mejores CMS", si uno no prestaba atención a la creación de usuarios nuevos, por defecto quedaban seteados en autorización automática, y con el perfil de administrador. Te puedes imaginar de lo que eso implica.
Me extraña eso que comentas de Drupal.
Yo usé intensivamente Drupal 5, 6 y 7. Incluso la versión 4, creo recordar.
En todas ellas el primer usuario se creaba como administrador (evidentemente, era el primero) y los demás no.
De hecho, para configurar Drupal de modo que crease administradores por defecto era necesario instalar y configurar un módulo adicional.
Yo también he usado Drupal, y también tuve que modificar el perfil de usuario, y setear que los usuarios nuevos sean autorizados por el administrador. Salu2 USA LINUX OPENSUSE QUE ES SOFTWARE LIBRE, NO NECESITAS PIRATEAR NADA Y NI TE VAS A PREOCUPAR MAS POR LOS VIRUS Y SPYWARES: http://www.opensuse.org/es/ Puedes visitar mi blog en: http://jerbes.blogspot.com.ar/ -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 08/07/2016 a las 3:58, Carlos E. R. escribió:
On 2016-07-08 02:22, Pinguino Patagonico wrote:
El día 6 de julio de 2016, 15:15, Carlos E. R. <robin.listas@telefonica.net> escribió:
On 2016-07-06 15:16, SATOF wrote:
Hola,
estoy leyendo que ya hay versiones de ramsomware que afectan a servidores linux:
http://www.genbeta.com/linux/aparece-un-ransomware-que-afecta-a-linux-esto-e... Pero si, uno de los links del artículo: A ver.
Detectado por ESET como Linux/Filecoder.A, este tipo de ransomware reportado por la firma Dr. Web busca hacerse de archivos, páginas e imágenes del sitio afectado basado en Linux para pedir a su administrador el pago de un rescate de 1 bitcoin (aproximadamente 300 dólares, según The Hacker News) a cambio de descifrarlos. Vale, eso ya lo sabíamos. Pero antes de hacer eso tiene que entrar. ¿Como lo hace?
En concreto, la amenaza cifra archivos con extensiones conocidas para desarrollar un sitio web, y funciona correctamente solo si se ejecuta con permisos de root. Pues claro.
Una vez que está corriendo el servicio, cifra y borra los archivos originales, utilizando el algoritmo de RSA AES de 2048 bits y cambiando las extensiones a “.encrypt”. De este modo, la víctima visualiza un mensaje que le solicita el pago de 1 bitcoin por el rescate y recuperación de su información, mediante un enlace a la red Tor. ¡Pero no dice como entra!
http://www.welivesecurity.com/la-es/2015/11/09/linux-ransomware-que-apunta-a...
Otro link de este ultimo:
Tras analizar su proceso de infección a través de correos electrónicos con metodologías de Ingeniería Social, Eso no es un ataque a un servidor.
realizaremos un análisis más detallado del otro vector de propagación que utiliza, que hasta el día de hoy es la amenaza predilecta de los atacantes para propagar a Locky: un código malicioso detectado por las soluciones de ESET como JS/TrojanDownloader.Nemucod.
Nemucod es un malware desarrollado en JavaScript y por lo tanto no tiene ninguna complicación para ser ejecutado en sistemas operativos Windows, Windows.
gracias al Windows Script Host. Pero, ¿qué acciones realiza esta amenaza? En líneas generales, se encarga de descargar a Locky y efectuar su ejecución.
http://www.welivesecurity.com/la-es/2016/05/20/nemucod-aliado-ransomware-loc...
Nada, todo eso no sirve de nada para saber como entran en el servidor y por tanto, que hacer para evitarlo. Dicen obviedades.
Esto es lo que yo quiero saber, cómo entran y como proteger los servidores. tambien me preocupa que una vez infectados, no se pueda dar con los delincuentes. ¿No se pueden localizar? ¿ no va alguno a caer y darle un escarmiento para que desistan? -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 2016-07-11 19:26, SATOF wrote:
Esto es lo que yo quiero saber, cómo entran y como proteger los servidores.
Claro, es que el artículo no dice más que banalidades. Vale, si consiguen entrar en cualquier máquina por el método que sea, de los clásicos, con shell, una de las cosas que pueden hacer es cifrarte los ficheros y joderte. Ahora, se supone que conseguir eso en Linux es muy dificil. Si el artículo dice que lo están haciendo, ¡pues que diga como! Si no, es FUD.
tambien me preocupa que una vez infectados, no se pueda dar con los delincuentes. ¿No se pueden localizar? ¿ no va alguno a caer y darle un escarmiento para que desistan?
Eso es cuestión de denunciar cada caso ante la policía. Pero si están en otros países, pues depende... -- Cheers / Saludos, Carlos E. R. (from 13.1 x86_64 "Bottle" at Telcontar)
participants (5)
-
Ancor Gonzalez Sosa -
Carlos E. R. -
Juan Erbes -
Pinguino Patagonico -
SATOF