El ransomware es el tipo de malware más peligroso de los últimos años. Este tipo de software malicioso ataca lo más importante para los usuarios: sus datos. Cuando la infección se lleva a cabo, todos los datos del usuario se cifran con un algoritmo irrompible y se pide el pago de un “rescate” a cambio de la clave de cifrado con la que poder recuperar estos archivos. Los objetivos de esta amenaza, que principalmente han sido los usuarios domésticos, también cambian en ocasiones, pudiendo encontrar alternativas como KimcilWare cuyos objetivos son los servidores de páginas web.
KimcilWare es un nuevo ransomware detectado en las últimas horas por los investigadores de seguridad de MalwareHunterTeam cuyo principal objetivo es el de secuestrar los servidores de diferentes tiendas online, generalmente basadas en Magento, para luego pedir el correspondiente rescate por ellas.
Cuando este ransomware infecta el servidor, este añade la extensión “.kimcilware” a todos los ficheros del mismo. Para que la página web siga funcionando, el malware genera su propio fichero index con el que muestra una pantalla en negro con un texto que indica que el servidor ha sido secuestrado. El pirata informático pide el pago de 140 dólares, obviamente en Bitcoin, por la clave de cifrado con la que recuperar los archivos.
Imagen 1 : Sitio web secuestrado con ransomware.
Por el momento no se sabe cómo se ha podido llevar a cabo la infección. A día de hoy se conocen más de 10 tiendas afectadas por este ransomware, sin embargo, no se sabe cómo las elige el pirata informático. Mientras que la infección podría realizarse mediante una vulnerabilidad en el servidor o en Magento, algunos servidores que alojan varias tiendas online solo han visto comprometidas una de ellas, lo que hace pensar que el pirata informático ataca objetivos concretos y no va solo “a ver qué encuentra”.
Los investigadores de seguridad siguen estudiando este nuevo y hasta ahora desconocido (aunque la primera infección data del 3 de marzo de este mismo año) ransomware, así como intentando encontrar un fallo en la seguridad del mismo que brinde información sobre el pirata informático responsable o que permita descifrar los archivos sin tener que pasar por caja.
Uno de los investigadores de seguridad que se encuentran investigando esta nueva amenaza ha detectado que la dirección de correo del pirata informático, tuyuljahat@hotmail.com, coincide con la de otro ransomware descubierto hace algún tiempo, MireWare. Debido a que este ransomware era una variante de Hidden Tear, es muy probable que el nuevo KimcilWare también lo sea, aunque, a diferencia del primero, este esté enfocado principalmente a tiendas Magento.
Debido a la falta de información, por el momento, las únicas recomendaciones de seguridad que se pueden dar para intentar mitigar esta amenaza es recomendar el uso de contraseñas seguras tanto en el servidor como en el panel de administración de Magento, así como mantener todo el núcleo de la tienda actualizado para evitar que, si la infección de realiza a través de una vulnerabilidad, esta pueda estar comprometiendo nuestro servidor.
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario