Ransomware, el nombre del método criminal que se hizo famoso por encriptar los datos del computador de los usuarios y exigirle rescates pagados con Bitcoin, ha vuelto a la palestra pública en una nueva modalidad que ataca específicamente a los usuarios del sistema operativo Linux.
Tal como mencionamos meses anteriores cuando el método criminal acumuló diversas víctimas del sistema operativo Windows, Ransomware secuestra los archivos alojados en el computador de los usuarios y exige un rescate pagado únicamente con Bitcoin para aprovechar las ventajas de anonimato que proporciona la criptomoneda. En ésta nueva versión, los usuarios de Linux son los blancos perseguidos.
El virus ha sido denominado «Linux.Encoder.1» y ataca haciendo uso de una vulnerabilidad de CMS Magento, un popular software utilizado para manejar plataformas de comercio electrónico en sitios web. A juzgar por los directorios en los que el troyano cifra los archivos, se puede sacar una conclusión de que el principal objetivo de los delincuentes cibernéticos son los administradores de sitios web que tienen equipos en los cuales se despliegan servidores web. Los investigadores de seguridad del antivirus Doctor Web presumen que al menos decenas de usuarios ya han sido víctimas de este troyano.
Tal como anuncia Doctor Web, en primer lugar, el Linux.Encoder.1 encripta todos los archivos en los directorios de inicio y directorios relacionados con la administración del sitio web. A continuación, el troyano atraviesa de forma recursiva todo el sistema de archivos empezando por el directorio desde el que se puso en marcha; la próxima vez, comenzando con un directorio raíz («/»). En ese momento, el troyano encripta sólo los archivos con extensiones especificadas y, sólo si es un nombre de directorio, se inicia con una de las cadenas indicadas por los ciberdelincuentes.
El rescate por la desencriptación de los archivo debe realizarse con la moneda digital Bitcoin y actualmente los criminales cibernéticos exigen una cantidad comprendida entre 300 y 500$.
Sin embargo este nuevo malware tiene sus debilidades, ya que requiere el acceso a nivel de administrador para funcionar. Al tener presente la advertencia de Doctor Web de que el código se está extendiendo gracias a una falla crítica en el CMS Magento, la recomendación es actualizarlo a un parche que fue lanzado el 31 de octubre. Debido a que éste parche tiene un poco más de una semana, muchos sistemas todavía pueden tener la falla que permitiría alojar al Linux.Encoder.1 y permitirle operar.
Esta nueva versión del ransomware rompe los paradigmas de que solo los sistemas operativos de Windows y Android son vulnerables a éste tipo de ataques, dejando en claro así que tanto Linux, como iOS y otros sistemas operativos no están exentos a tales prácticas.
