Una de las técnicas casi tan antiguas como la propia existencia de las páginas web es el defacing, una técnica mediante la cual un pirata informático que conseguía acceder al servidor de una web, modificaba su apariencia y dejaba, generalmente, una nota personal. Esta técnica solo se utiliza por diversión ya que, en realidad, no aporta ningún beneficio económico al pirata ni supone un gasto para la empresa. Por desgracia, esto está acabando.
Los expertos de seguridad de Fortinet han detectado una nueva amenaza creada por un pirata informático de Indonesia llamado «JapanLocker» (aunque, en realidad, no tiene nada que ver con Japón). Esta nueva amenaza se trata de un nuevo ransomware, escrito totalmente en PHP, el cual secuestra todo el servidor afectado y pide el pago de un rescate a cambio de restaurar la web y todos los datos del mismo.
Este pirata informático es uno de los pioneros en empezar a llevar a cabo este tipo de ataques. Para lograr acceso al servidor, el atacante suele utilizar una serie de exploits (aunque esto aún lo están investigando desde Fortinet) de manera que, una vez dentro, pueden copiar y ejecutar la amenaza. Igual que el Defacing, pero en vez de modificar los archivos HTML, copia y ejecuta un ransomware PHP.
Actualmente, varias fuerzas de seguridad están siguiendo el rastro de este pirata informático que, para demostrar cómo funcionaba su malware, subió un vídeo mostrando su IP pública auténtica, por lo que, en breve, lo más seguro es que sea detenido.
Este nuevo Ransomware PHP es de código abierto, y está publicado en GitHub
Solo hay una cosa peor que el ransomware, y es que este sea de código abierto. Igual que ha pasado en ocasiones anteriores, cuando un investigador publicó el código de uno de los ransomware más complejos con «fines educativos», tener el código de un arma tan peligrosa como esta abre la puerta a una gran variedad de nuevos malware y nuevas amenazas basadas en él. Cualquiera puede descargar el código, modificarlo, si quiere, y compilarlo para tener una nueva herramienta maliciosa totalmente nueva.
Tal como aseguran los expertos de Fortinet, este pirata informático ha publicado el código del ransomware en GitHub, convirtiéndolo en una amenaza mucho más peligrosa al alcance de cualquiera. Por suerte, esta empresa de seguridad ha publicado una herramienta gratuita con la que descifrar los datos secuestrados por este ransomware.
Los ransomware PHP son herramientas muy simples y es muy sencillo recuperar los datos secuestrados por ellas, sin embargo, no debemos confiarnos ya que, como hemos dicho, el secuestro de servidores se está convirtiendo en la amenaza sustituta del inofensivo defacing web.
¿Crees que el ransomware basado en web puede ser la nueva amenaza tanto para usuarios como para administradores de servidores?