Ransomware richt zich op Linux webservers

Cybercriminelen richten zich met ransomware in toenemende mate op webservers. Hiervoor hebben de aanvallers een versie van ransomware ontwikkeld die specifiek is gericht op Linux-gebaseerde systemen.

Dit meldt het Russische beveiligingsbedrijf Doctor Web. Het bedrijf wijst op de Linux.Encoder.1, een nieuwe vorm van ransomware die wat betreft gedrag veel lijkt op CryptoWall. De ransomware zou zich voornamelijk richten op Linux systemen waarop een webserver draait.

3.000 websites geïnfecteerd

De ransomware is sinds november 2015 actief. Ongeveer 3.000 websites zouden tot nu toe door de malware zijn getroffen. In veel gevallen weet de ransomware zich op servers te nestelen door misbruik te maken van kwetsbaarheden in WordPress plugins, online winkelswagens en het Magento CMS.

Zodra een server is geïnfecteerd gaat Linux.Encoder.1 op zoek naar data die kan worden versleuteld. De malware zoekt hierbij naar door de aanvallers gespecificeerde bestandsformaten en laat andere bestanden ongemoeid. De ransomware richt zich voornamelijk op data in de home directory en directories van beheerders. Deze data wordt versleuteld, waarna de ransomware de server blijft afspeuren naar andere bestanden die kan worden gegijzeld. De malware maakt gebruik van de Advanced Encryption Standard (AES) om data te versleutelen.

Tool om data te ontsleutelen

Voor slachtoffers van Linux.Encoder.1 is er overigens goed nieuws. Onderzoekers van Bitdefender hebben fouten ontdekt in de ransomware, die het mogelijk maken de AES sleutels van data te achterhalen. Bitdefender heeft een tool ontwikkeld waarmee dit proces automatisch wordt uitgevoerd en gegijzelde data kan worden ontsleuteld.