¿Website sin conexión? El nuevo ransomware FAIRWARE encontrado en el servidor podría ser la causa
Comunicaciones Hoy09/09/2016
En un momento en el que el goteo constante de noticias relacionadas con el ransomware no cesa, entra en escena FAIRWARE, una nueva variante que está atacando los servidores web bajo la plataforma Linux.
Comentado inicialmente en un postpublicado en el foro Bleeping Computer, las víctimas explicaban que creían que se habían forzado sus máquinas para obtener acceso. Una vez en el servidor, los atacantes supuestamente cifran los archivos y eliminan el contenido de la carpeta web, borrando los archivos originales y dejando un mensaje que exige el pago de un rescate de dos Bitcoins para poder recuperar los archivos. Por supuesto, la eliminación de los contenidos de la carpeta www deja al servidor web inservible, lo que sería un problema importante en caso de aplicaciones web de misión crítica. Si la víctima no paga el rescate en el plazo de dos semanas, se le advierte que no va recuperar sus archivos y que estos pueden ser filtrados al público.
Todavía no está claro si el desarrollador del ransomware FAIRWARE quita realmente los archivos antes de eliminarlos, o si es simplemente una estrategia para que las víctimas paguen el rescate. Hasta la fecha, nadie ha pagado el rescate en el monedero Bitcoin especificado en la nota que deja, pero con datos valiosos bajo riesgo, la víctima deseará desesperadamente intentar recuperarlos pagando el rescate.
Aunque ya hemos sido testigos de algunas modalidades de ransomware centrado en el servidor en ocasiones pasadas (SAMSAM es una variante reciente que aprovechaba una vulnerabilidad de JBOSS), y FAIRWARE es un buen recordatorio de que no existe una varita mágica, cuando se trata de proteger a las organizaciones del ransomware. Mientras la mayoría de los ataques se centran en el usuario final, los servidores ejecutan las aplicaciones de misión crítica y almacenan datos empresariales sensibles, los cuales necesitan estar protegidos como parte de una estrategia de seguridad por capas.
Una solución de seguridad efectiva para el servidor, como Trend Micro Deep Security, puede proteger ante ataques los servidores a través de la nube híbrida con una amplia variedad de controles de seguridad, proporcionando ayuda con:
Comentado inicialmente en un postpublicado en el foro Bleeping Computer, las víctimas explicaban que creían que se habían forzado sus máquinas para obtener acceso. Una vez en el servidor, los atacantes supuestamente cifran los archivos y eliminan el contenido de la carpeta web, borrando los archivos originales y dejando un mensaje que exige el pago de un rescate de dos Bitcoins para poder recuperar los archivos. Por supuesto, la eliminación de los contenidos de la carpeta www deja al servidor web inservible, lo que sería un problema importante en caso de aplicaciones web de misión crítica. Si la víctima no paga el rescate en el plazo de dos semanas, se le advierte que no va recuperar sus archivos y que estos pueden ser filtrados al público.
Todavía no está claro si el desarrollador del ransomware FAIRWARE quita realmente los archivos antes de eliminarlos, o si es simplemente una estrategia para que las víctimas paguen el rescate. Hasta la fecha, nadie ha pagado el rescate en el monedero Bitcoin especificado en la nota que deja, pero con datos valiosos bajo riesgo, la víctima deseará desesperadamente intentar recuperarlos pagando el rescate.
Aunque ya hemos sido testigos de algunas modalidades de ransomware centrado en el servidor en ocasiones pasadas (SAMSAM es una variante reciente que aprovechaba una vulnerabilidad de JBOSS), y FAIRWARE es un buen recordatorio de que no existe una varita mágica, cuando se trata de proteger a las organizaciones del ransomware. Mientras la mayoría de los ataques se centran en el usuario final, los servidores ejecutan las aplicaciones de misión crítica y almacenan datos empresariales sensibles, los cuales necesitan estar protegidos como parte de una estrategia de seguridad por capas.
Una solución de seguridad efectiva para el servidor, como Trend Micro Deep Security, puede proteger ante ataques los servidores a través de la nube híbrida con una amplia variedad de controles de seguridad, proporcionando ayuda con:
- La detección temprana de un ataque, incluyendo los casos en los que se recurre a la fuerza bruta como la utilizada por FAIRWARE y el movimiento lateral de servidor a servidor, lo que permite llevar a cabo una acción inmediata para reducir al mínimo el potencial impacto.
- Blindaje de los servidores ante ataques (como SAMSAM) que aprovechan una vulnerabilidad para hacerse un hueco en el servidor.
- Protección de los servidores de archivos empresariales -que alojan grandes volúmenes de datos corporativos valiosos- de los ataques a través de usuarios finales que están en situación de peligro, alertando a los administradores y deteniendo la actividad sospechosa en su recorrido.
Como parte del compromiso de Trend Micro por ayudar a los clientes ante los retos del ransomware, la compañía ha preparado algunos consejos útiles y herramientas basadas en su amplia experiencia para combatir este tipo de amenaza. También puede acceder a un Webinar en el que los expertos de Trend Micro le proporcionarán prácticos consejos sobre lo que debe hacer para proteger a su organización.
