Un nuevo cryptovirus llamado "B0r0nt0K" ha puesto a Linux y posiblemente a los servidores web de Windows en riesgo de cifrar todos los archivos del dominio infectado. La nueva amenaza de ransomware y el rescate de 20 bitcoins (alrededor de US $ 75,000) salieron a la luz la semana pasada, basados en una publicación en el foro de usuarios de Bleeping Computer.

El usuario del foro indicó que el sitio web de un cliente tenía todos sus archivos cifrados y renombrados con la extensión .rontok. El sitio web se estaba ejecutando en Ubuntu 16.04. La nota de rescate B0r0nt0K no se muestra en un formato de texto o en el mensaje en sí, según el informe. En cambio, la pantalla del sistema infectado se vincula con el sitio web del desarrollador de ransomware, que proporciona detalles del cifrado y la demanda de pago. La pantalla incluye una identificación personal requerida para iniciar sesión en el sitio.

Después de completar el inicio de sesión en el sitio web del desarrollador de ransomware, aparece una página de pago que incluye el monto del rescate de bitcoin, la dirección de pago de bitcoin y el correo electrónico info@botontok.uk para ponerse en contacto con los desarrolladores.

La inclusión de información de contacto en una de las pantallas de mensajes mostradas sugiere que los desarrolladores están dispuestos a negociar el precio, de acuerdo con 2-Spyware.com. La palabra "¿Negociar?" Precede la dirección de correo electrónico para llegar a los desarrolladores de ransomware.

La nota de rescate se genera en la pantalla de una ventana del navegador web. Los desarrolladores de virus alientan a las víctimas de infecciones a pagar el rescate en tres días a través del formulario en su sitio web proporcionado para evitar la eliminación permanente de sus archivos.

Sin embargo, la supuesta clave de descifrado nunca puede ser entregada a las víctimas que pagan la enorme cantidad de rescate, advierte 2-Spyware.com en su sitio web. La compañía recomienda no pagar el rescate ya que no da ninguna garantía.

Daño oculto

Un cryptovirus como B0r0nt0k puede deshabilitar las herramientas de seguridad u otras funciones para seguir funcionando sin interrupción, advierte 2-Spyware.com. El ransomware B0r0nt0k puede alterar partes más importantes de la computadora si no se trata.

El precio inicial de este rescate es bastante alto y sugiere un posible motivo ulterior, según Mounir Hahad, director de Juniper Threat Labs en Juniper Networks.

Tal vez el autor solo esté probando su enfoque en un sitio web menos prominente antes de pasar a objetivos más ricos. Aún no se sabe cómo se ejecutó el ransomware en el servidor web de la víctima.

"El ransomware necesita una entrada", dijo Josh Tomkiel, gerente de evaluación de amenazas y vulnerabilidades de Schellman & Company.

Si bien es posible que actualmente no esté claro cómo el ransomware B0r0nt0K pudo establecer un punto de apoyo en los servidores Linux afectados en cuestión, por lo general se remonta a errores de configuración del servidor o al ejecutar versiones obsoletas de software con vulnerabilidades conocidas de ejecución remota de código.

Fuente: https://www.linuxinsider.com/story/B0r0nt0K-Ransomware-Threatens-Linux-Servers-85870.html





Acerca del Autor
Maikel Llamaret HerediaMaikel Llamaret Heredia: Creador y actual Mantenedor del Proyecto SWL-X. Desarrollador y diseñador Web. Cofundador de Web & Media Integrated Solutions. Con más de 10 años de experiencia en la administración de sistemas GNU/Linux. Actualmente uno de los administradores de la Web del Grupo de Usuarios de Tecnologías Libres en Cuba.

Blog Comments powered by Disqus.

Entrada Anterior Siguiente Entrada