Linuxに新種のランサムウェアが猛威
ランサムウェア「Lilu」あるいは「Lilocked」が、Linuxサーバーに対して脅威となっているそうです。
既に数千台のLinuxサーバがこのランサムウェアに感染したとされている(フランスのセキュリティ研究者であるBenkow氏によれば、感染したLinuxサーバの台数は6700台に上るという)。このランサムウェアは2019年7月中旬に感染が始まり、この2週間で攻撃を広げている。
Linuxサーバーがインターネットのたくさんのサービスを支えているのは事実です。もしこのまま広がっていくのでしたら大混乱必至です。
感染ルートは今のところ不明ですが、Eximというメールサーバーの脆弱性経由ではないかとの説が有力とのことです。
まずは症状について注目します。
感染するとどうなるか
現象について詳しく報告している記事があります。
どうやら、下記のような動きをしそうです。
・Liluは、root権限を何らかの方法で奪取します。一説にはメールサーバーEXIMの脆弱性経由だという説がありますがまだ証明はされていません。
・Webサーバーのドキュメントルート以下にあるファイルのうち、HTML、SHTML、JS、CSS、PHP、INI、さまざまな画像ファイル形式などのファイル拡張子を持つファイル「だけ」を暗号化します。
・暗号化されたファイル名は、*.lilockedにリネームされます。例えばindex.htmlは、index.html.lilockedとなります。image.jpgだと、image.jpg.lilockedです。
・暗号化されたファイルのあるディレクトリ**全て**に、#README.lilockedというファイルが置かれます。
上記READMEは下記のような文面です。
I'VE ENCRYPTED ALL YOUR SENSITIVE DATA!!! IT'S A STRONG ENCRYPTION, SO DON'T BE NAIVE TO RESTORE IT;)
すべての機密データを暗号化しました!!!それは強力な暗号化ですが、復元するのにナイーブになる必要はありません;)
YOU CAN BUY A DECRYPTION KEY FOR A SMALL AMOUNT OF BITCOINS!
少額で、ビットコインの解読キーを購入できます!
YOU HAVE 7 DAYS TO DECRYPT YOUR FILES OR YOUR DATA WILL BE PERMANENTLY LOST!!!
ファイルの暗号化を解除するためには7日間の猶予があります。そうしないと、データは永久に失われます。
PLEASE VISIT MY SITE WITH TOR BROWSER
https://〇〇〇〇〇〇〇/download/〇〇〇〇〇〇.onion
WEBブラウザーで下記のURLを開いてください(ダークウェブにあるようです)。
COPY THE FOLLOWING KEY THERE AND FOLLOW THE INSTRUCTIONS!
以下のカギをコピーし、指示に従ってください。
YOUR KEY IS
~~~~~~~~~~
ドキュメントのみの暗号化ですので、Linuxサーバーとしては動き続けます。ただWebサーバーとしては使い物にならなくなりますし、ランサムウェアに感染したことを外部にさらすことになります。
Googleにたくさん感染したサーバーが引っ掛かってくるのですが、この6560件というのが「もう6000台以上のサーバーが感染している」の根拠なんだと思います。
とあるサーバーを確認してみると以下のようになっていました。
そもそもIndexesの設定が残っていて上記の情報が外部から見られるのも不用心なのですが、ランサムウェアがおりこうさんで、Webサーバーの設定そのものを書き換えている可能性もあります(多分そこまではしていないと予想します)。
Eximの脆弱性とは
以前当ブログでも特集しました。
日本でEximのシェアが低いことでそこまで大きな心配は不要だとは思いますが、もし万が一メールサーバーに利用していて、かつ脆弱性を放置しているとしたら危険です。
Linuxにもランサムウェアが身近になっているというのは怖い話です。事例として知っておいた方がよいとは思います。