29 feb. 2016

Nueva versión de CTB-Locker infecta sitios web

En los últimos años, hemos visto un aumento de innumerable amenazas de ransomware desde Cryptowall y CTB-Locker hasta Locky, descubierto la semana pasada.

Ahora apareció una nueva variante de CTB-Locker, orientada a infectar sitios web. Esta versión se "apropia" de los sitios web y bloquea el acceso a sus datos, los cuales son descifrados después de hacer un pago de 0,4 a 0,8 Bitcoins. A modo de "prueba de vida", los administradores del sitio web infectado pueden desbloquear 2 archivos gratis.

Según una sencilla busqueda, se puede confirmar que actualmente ha infectado a cientos de sitios web.

Así funciona la CTB-Locker para sitios web

CTB-Locker sustituye la página principal del sitio (index, default, etc.) y lo reemplaza por un index.php con un mensaje informando que los archivos han sido cifrados y se tiene que abonar un rescate antes de un determinado plazo, después del cual el monto a pagar se duplica. Por ahora parece que el ransomware solo afecta a sitios con tecnología LAMP.

Los sitios web comprometidos muestran el siguiente mensaje:
"Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site."
El mensaje también contiene una guía paso a paso que ayuda a las víctimas para realizar el pago a una dirección Bitcoin determinada e incluso un chat dónde se puede consultar con los delincuentes.

Por ahora se desconoce cómo llega CTB-Locker al servidor afectado, pero basado en el análisis de sitios web cifrados, se supone que son sitios Wordpress vulnerables.
Para iniciar el proceso de cifrado, el desarrollador de malware utiliza dos claves AES-256: una de estas claves se utiliza para descifrar los dos archivos de prueba y la otra clave se utilizará para cifrar el resto de los archivos del sitio. Las extensiones a cifrar corresponden a casi cualquier tipo de archivo conocido y se almacenan en: archivo de web_site_document_root]/extensions.txt. También se dejan otros archivos en el webserver, tales como: index.php, allenc.txt, test.txt, victims.txt, extensions.txt, secret_[site_specific_string].


Según Benkow Wokned, el investigador de seguridad que descubrió esta versión de CTB-Locker, la página index.php utiliza la función jQuery.post() para comunicarse y registrar datos del servidor C&C del ransomware.

Fuente: Bleeping Computer

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!