“Ciao, caro, chiedo scusa ma ho crittografato tutti i tuoi dati”. Con queste parole inizia il messaggio di richiesta di riscatto di Lilocked (anche chiamato Lilu), una nuova campagna ransomware che sta colpendo i server basati su sistema operativo Linux. Lilocked è il nome assegnato al ransomware dai ricercatori che l’hanno scoperto, mentre gli sviluppatori del programma l’hanno battezzato Lilu

Se ne parla in realtà da diverse settimane, attraverso articoli comparsi su riviste online specializzate e discussioni su forum frequentati da esperti di cybersicurezza, ma la novità di questi primi giorni di settembre è che - stando a diverse segnalazioni di vari ricercatori e della testata Zdnet - si contano già svariate migliaia di server Linux infetti.

Nella maggior parte dei casi si tratta di Web server, senza che sia emersa una particolare focalizzazione sull’una o sull’altra piattaforma Cms (Wordpress, Magento e altre).  Una ricerca su Google, spiega il sito Bleeping Computer, evidenza l’esistenza di oltre seimila Web server infettati. A segnalare il passaggio di Lilocked, infatti, c’è una traccia: una volta infettata la macchina, il ransomware cifra alcuni file o cartelle, modificandone il nome con l’aggiunta dell’estensione “.lilocked”. 

La crittografia non viene estesa a tutti i file del sistema, ma soltanto ad alcuni tipi di file di immagine e a quelli in formato Html, SHtml, Js, Css, Php e Ini. Viene, inoltre, scaricato un file di testo contenente la richiesta del riscatto e denominato “#README.lilocked”: la somma richiesta è tutto sommato contenuta, l’equivalente in Bitcoin di un centinaio di euro o, in altri casi, di circa 280 euro. Alla vittima viene chiesto di scaricare un’applicazione per portafoglio Bitcoin e di trasferire la somma specificata, per ottenere in cambio un codice con il quale poter “liberare” i file crittografati e riportari al formato originario.

Il problema non sta tanto nella truffa alla base di questo ransomware, che è ingannevole al pari di tanti altri. Semmai il problema è che al momento non è stata trovata la vulnerabilità di partenza grazie alla quale l’infezione di Lilocked si sta diffondendo, anche se almeno in alcuni casi (stando alle segnalazioni) l’origine potrebbe essere una falla in una versione non aggiornata del software Exim. Si sospetta, inoltre, che il numero dei bersagli colpiti sia molto superiore ai seimila o settemila Web server già emersi, essendo Linux installato anche su macchine di altro tipo connesse alla Rete.