HomeRisorseArticoliCybersecurityFairWare Ransomware: il virus che attacca Linux
Cybersecurity

FairWare Ransomware: il virus che attacca Linux

31 Agosto 2016

Sono di poche ore fa le segnalazioni delle prime vittime di questo nuovo virus: FairWare Ransomware.

Si tratta di un virus (apparentemente) progettato per colpire i server Linux.

Il comportamento di questo  virus è il seguente:
–    attacca un server Linux;
–    cancella le cartelle che ospitano il sito web;
–    infine chiede un riscatto per riottenere i propri file indietro.

Non pare quindi esserci un problema di crittografia, ma di cancellazione dei file, per riottenere i quali viene chiesto un riscatto.

Probabilmente il virus prima di cancellare i file li carica su qualche server sotto il controllo degli hacker, per poterli poi restituire dietro pagamento del riscatto, ma questa è una mia ipotesi.


Le prime vittime si sono accorte del virus perché i loro siti non rispondevano più. A una successiva analisi, è risultato che il contenuto della cartella che conteneva il sito web era sparito e in /root/ c’era un file READ_ME.txt con le istruzioni per pagare il riscatto.

Al momento le opzioni migliori per difendersi sono:
–    disabilitare l’accesso SSH allo stretto indispensabile;
–    assicurarsi di avere i backup delle cartelle del sito web;
–    monitorare la banda per verificare se c’è un traffico eccessivo rispetto allo standard.

Se “mastichi” l’inglese, puoi controllare i commenti che stanno arrivando in tempo reale sul sito di Bleepingcomputer.

Aggiornamento 01/09/2016: pare che FairWare sia più uno scherzo di pessimo gusto che un reale e il vero problema sia un attacco ai server che ospitano Redis.
I server che ospiano Redis infatti possono essere attaccati e gli hacker possono installare un tool SSH proprietario grazie al quale possono fare quello che vogliono.
Poiché chi ha fatto le prime segnalazioni del virus FairWire è risultato possedere server Redis è abbastanza palese che c’è una relazione fra le due cose.

Ulteriori dettagli sull’attacco ai server Redis e alle sue relazioni con il presunto virus puoi trovarlo in questo articolo.

Autore
Gabriele Palumbo
Nasco a Bologna ma ho vissuto l’infanzia in Piemonte, l’adolescenza in Puglia e la maturità tra Umbria, Toscana, Puglia, Emilia-Romagna e Lombardia (e non è ancora finita). Ho avuto quindi modo di entrare in contatto con diversi ambienti e contesti sociali. Una formazione umanistica (Sociologia della devianza a Perugia e Relazioni Internazionali a Pisa), passione per la scrittura e decine di corsi sul mondo digital sono state ottime basi per entrare nel campo del marketing e della comunicazione. Nel 2015 pubblico il romanzo breve “Ci siamo solo persi di vista” e, a inizio 2019, pubblico la biografia della rock band “Ministri”, entrata in poche ore nei Top Sellers di Amazon. Un romanzo è in fase di scrittura. Terminati gli studi entro attivamente nel mondo della musica, organizzando svariati concerti e un festival, e della comunicazione digitale, gestendo la linea editoriale di blog e social e ricoprendo ruoli di copywriter e content editor. Nel 2017 entro nel collettivo Dischirotti. occupandomi dei contenuti web, mentre il 2018 mi vede prima nell’agenzia FLOOR concerti come booking agent per svariati artisti e poi in VOX concerti come direttore di produzione. Tornato a Bologna inizio a collaborare con l’etichetta discografica Manita Dischi come project manager e svolgo un tirocinio presso l’agenzia di marketing e comunicazione digitale Engine Lab, nel ruolo di content editor. Dal 2020 al 2023 ho collaborato, sia come editor che come contributor, con Fantastico.esclamativo, newsletter letteraria e rivista culturale creata da Alberto Guidetti de Lo Stato Sociale. Ogni due sabati invio “Capibara”, una newsletter che tratta di attualità e meme in un progetto che, occasionalmente, porto anche dal vivo sotto forma di Stand-Up. Attualmente ricopro il ruolo di Channel Marketing Manager in Achab, con particolare focus su contenuti editoriali, analytics, marketing automation e CMS.

Tag

cryptolocker, CryptoVirus, FairWare Ransomware, Linux, ransomware

Commenti (2)
Iscriviti
Notificami
guest
2 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Mario Brighi
Mario Brighi
7 anni fa

Consiglio a chiunque ricevesse un attacco su server Linux di non pagare nessun riscatto, perchè i files non vengono trasferiti su altri server, bensì cancellati definitivamente al momento dell’intrusione. Lo dico per esperienza diretta, alcune settimane fa abbiamo subito un attacco identico a quello descritto nel post su un server linux e Redis installato. Abbiamo pagato il riscatto, ma non abbiamo ottenuto nulla in cambio

0
Rispondi
Claudio Panerai
Claudio Panerai
7 anni fa

Grazie mille della tua testimonianza, Mario.

0
Rispondi

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative

Copyright © Achab S.p.A. unipersonale Società soggetta a direzione e coordinamento da parte di Vortex Beteiligungs GmbH
Viale Monte Nero 4, 20135 Milano - Tel. +39 02 54108204
P.IVA e C.F. 11270660159 - Cap. Soc. € 60.000,00 - Registro Imprese Milano - REA 1453036 - PEC: achab@legalmail.it