Servidores Linux são os mais afetados pelo JungleSec

Novo ransomware JungleSec infecta servidores via IPMI

Quando as primeiras informações sobre o ransomware JungleSec foram divulgadas no início de novembro, as vítimas que tiveram seus computadores infectados estavam rodando sistemas operacionais como Windows, Linux e macOS.

Desde então, múltiplos servidores com Linux foram infectados pelo ransomware através de placas IPMI inseguras.

IPMI é uma interface de gerenciamento remoto quem vem integrada em placas-mãe de servidores ou disponível como uma placa que pode ser instalada.

Esta interface de gerenciamento permite que os administradores liguem ou desliguem o computador, obtenham informações do sistema, executem tarefas de gerenciamento remoto e mais. Ela é extremamente útil para o gerenciamento de servidores.

O problema é que se a interface IPMI não for configurada corretamente, ela pode permitir que atacantes tomem o controle do servidor usando a credencial de login padrão.

De acordo com o site BleepingComputer, os atacantes instalaram o ransomware JungleSec nos servidores das vítimas através da interface IPMI.

Em um dos casos, a interface estava usando a senha padrão do fabricante. Outra vítima disse que o usuário Admin estava desativado, mas mesmo assim o atacante conseguiu obter acesso.

No caso das duas vítimas mencionadas acima, seus servidores com Linux foram reinicializados pelos atacantes e fizeram o download e a compilação do programa ccrypt.

Após o download, os atacantes usaram um comando similar ao mostrado abaixo para criptografar os arquivos:

/usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib

Após executar o comando o atacante digita senha que será usada para criptografar os arquivos.

O pedido de resgate do ransomware JungleSec pode ser visto abaixo com as instruções para o pagamento:

O ransomware explora uma falha de atenção técnica que com uma simples troca de senha poderia ser evitada, nesse caso se a sua empresa é preocupada com a segurança dos dados (ativo intelectual) o backup na nuvem será a proteção de que irá salva-los.