Cybersecurity

FairWare Ransomware: il virus che attacca Linux

31 Agosto 2016

Sono di poche ore fa le segnalazioni delle prime vittime di questo nuovo virus: FairWare Ransomware.

Si tratta di un virus (apparentemente) progettato per colpire i server Linux.

Il comportamento di questo  virus è il seguente:
–    attacca un server Linux;
–    cancella le cartelle che ospitano il sito web;
–    infine chiede un riscatto per riottenere i propri file indietro.

Non pare quindi esserci un problema di crittografia, ma di cancellazione dei file, per riottenere i quali viene chiesto un riscatto.

Probabilmente il virus prima di cancellare i file li carica su qualche server sotto il controllo degli hacker, per poterli poi restituire dietro pagamento del riscatto, ma questa è una mia ipotesi.


Le prime vittime si sono accorte del virus perché i loro siti non rispondevano più. A una successiva analisi, è risultato che il contenuto della cartella che conteneva il sito web era sparito e in /root/ c’era un file READ_ME.txt con le istruzioni per pagare il riscatto.

Al momento le opzioni migliori per difendersi sono:
–    disabilitare l’accesso SSH allo stretto indispensabile;
–    assicurarsi di avere i backup delle cartelle del sito web;
–    monitorare la banda per verificare se c’è un traffico eccessivo rispetto allo standard.

Se “mastichi” l’inglese, puoi controllare i commenti che stanno arrivando in tempo reale sul sito di Bleepingcomputer.

Aggiornamento 01/09/2016: pare che FairWare sia più uno scherzo di pessimo gusto che un reale e il vero problema sia un attacco ai server che ospitano Redis.
I server che ospiano Redis infatti possono essere attaccati e gli hacker possono installare un tool SSH proprietario grazie al quale possono fare quello che vogliono.
Poiché chi ha fatto le prime segnalazioni del virus FairWire è risultato possedere server Redis è abbastanza palese che c’è una relazione fra le due cose.

Ulteriori dettagli sull’attacco ai server Redis e alle sue relazioni con il presunto virus puoi trovarlo in questo articolo.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (2)
Iscriviti
Notificami
guest
2 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Mario Brighi
Mario Brighi
52 anni fa

Consiglio a chiunque ricevesse un attacco su server Linux di non pagare nessun riscatto, perchè i files non vengono trasferiti su altri server, bensì cancellati definitivamente al momento dell’intrusione. Lo dico per esperienza diretta, alcune settimane fa abbiamo subito un attacco identico a quello descritto nel post su un server linux e Redis installato. Abbiamo pagato il riscatto, ma non abbiamo ottenuto nulla in cambio

Claudio Panerai
Claudio Panerai
52 anni fa

Grazie mille della tua testimonianza, Mario.