Si sois usuarios de GNU/Linux posiblemente hayáis visto con preocupación cómo muchos medios se han hecho eco de la aparición de un ransomware para Linux. Esto ha dado pie a que algunos medios como el Washington Post ha llegado incluso a cuestionarse que Linux sea tan seguro como siempre se ha dicho.
Pero que no cunda el pánico. En primer lugar hay que tener claro que este ataque no va dirigido a todos los usuarios de Linux sino más bien a los webmasters o empresas de alojamiento web. Por eso, ante la incertidumbre que esta situación pueda haber creado vamos a intentar explicarlo todo bien para que no haya malentendidos.
¿Cómo funciona este ataque?
Un ransomware es un tipo de programa que puede acceder a nuestro ordenador para bloquearlo parcial y totalmente. Lo hace cifrando nuestros archivos para que no podamos acceder a ellos a no ser que paguemos un rescate. Además, los expertos en seguridad tampoco aconsejan que se pague el rescate, ya que no hay manera de saber si después se nos devolverá el acceso a los archivos.
El que fue descubierto ayer fue apodado 'Linux.Encoder.1' por la firma rusa de antivirus Dr.Web. Se infiltra en las páginas a través de las vulnerabilidades de sus plugins o algunos de los programas utilizados por los webmasters, y cifra los archivos pertenecientes a las carpetas home, root, MySQL, Apache, git, svn, webapp, www, public_html y backup presentes en los servidores y de las páginas.
Tal y como leemos en We Live Security, este ataque también cifra los archivos de desarrollo web que utilicen las extensiones .JS, .CSS, .properties, .XML, .ruby, .PHP, .HTML, .GZ, y .ASP. También afecta a cualquier otro archivo .RAR, .7Z, .XLS, .PDF, .DOC, .AVI, .MOV, .PNG, y .JPG como cualquier otro ransomware.
Afectando tanto a los archivos con información sobre la web como a los que contengan cualquier tipo de código funcional, cuando el administrador de una página afectada intenta acceder a ella sólo verá un mensaje en el que se le avisa de que su página ha sido secuestrada, y que si quiere recuperar el control tendrá que pagar un rescate de un Bitcoin, unos 330 euros al cambio.
¿A quién puede ir dirigido?
Uno de los sitios donde Linux de verdad es fuerte es en los servidores donde se alojan las páginas web, y por eso es ahí donde va dirigido este ataque. Por eso, los dos escenarios donde se podría dar este ataque es en los servidores que alojan las páginas o en los equipos de las empresas que las han creado.
En el primero de los casos, si somos una empresa que desarrolla página web lo encontraríamos al no poder acceder al servidor de la página. Por lo tanto el problema no lo tendría nuestro equipo sino el hosting que tengamos contratado para alojar nuestra web, por lo que lo recomendado sería ponernos en contacto con ellos para que lo solucionen y podamos seguir actualizando la web.
Pero el ataque también podría afectar a nuestros equipos de empresa impidiéndonos acceder a ellos y poniendo en peligro todo el trabajo que hemos ido haciendo. En este caso el daño sí que podría ser crítico para nuestro proyecto web, y aquí la única solución sería la de haber sido lo suficientemente prudentes como para haber ido realizando backups de nuestro trabajo.
Vía | The Hacker News y We Live Security Imágenes | Solo se puede ser libre Cuándo no se tiene nada que perder y Christopher Michel
Ver 24 comentarios