Esta completa amenaza puede cifrar todo tipo de sistemas

Esta completa amenaza puede cifrar todo tipo de sistemas

Javier Jiménez

Cuando navegamos por Internet se nos presentan muchas amenazas que pueden poner en riesgo nuestros equipos. Hay que tener en cuenta que esto es algo que puede afectar a todo tipo de dispositivos y sistemas operativos. En este artículo nos hacemos eco de Ensiko, una nueva amenaza muy completa que puede comprometer sistemas Windows, Linux y macOS. Se trata de un nuevo malware con la capacidad de cifrar los sistemas.

Ensiko, la nueva amenaza que pone en jaque a muchos equipos

Como decimos, Ensiko es un nuevo malware que puede afectar a sistemas Windows, Linux y macOS. Se trata de un Shell web escrito en PHP y que puede ser utilizado para controlar un equipo de forma remota, así como ejecutar una gran cantidad de acciones maliciosas.

Es un problema que pone en jaque los servidores web de estos sistemas operativos. Cuenta con un gran abanico de posibilidades, ya que se trata de un malware muy completo. Sin embargo la principal, la más peligrosa y que puede afectar más a los usuarios, es que tiene la capacidad de cifrar los archivos. Podría ser utilizado para desplegar ransomware contra servidores.

Como sabemos, el ransomware es uno de los peores tipos de amenazas que podemos encontrar en la red. El objetivo es cifrar archivos o sistemas para posteriormente pedir un rescate a la víctima para que pueda volver a tener un control total sobre ese equipo. Es un tipo de malware que ha ido perfeccionando con el paso del tiempo y es esencial que evitemos ser víctimas.

Han sido investigadores de seguridad de Trend Micro los que han analizado esta amenaza. Han descubierto que utiliza el utiliza el cifrado simétrico Rijnadel-128 en modo CBC para cifrar archivos.

Lo que hace Ensiko es cifrar los archivos en un directorio y subdirectorios de shell web y agregar la extensión .BAK a los archivos procesados.

Crear o comprar malware

El malware se protege con contraseña

Otra de las cuestiones que han encontrado desde Trend Micro es que este malware es capaz de protegerse con contraseña. De esta forma logran un acceso seguro y evitar la toma de control si alguien lograra reemplazar las cargas útiles del malware.

Ensiko puede cargar varias herramientas que el malware descarga y las almacena en un directorio llamado «tools_ensikology». Una de las funciones de esta amenaza se llama Steganologer, que puede identificar archivos de imagen que tienen código en sus metadatos (encabezados EXIF). El código se extrae y ejecuta en el servidor comprometido.

También encontraron que Ensiko puede verificar si un shell web de una lista predefinida está presente en un host remoto. Otra función de escaneo llamada Remote File Check permite al operador buscar archivos arbitrarios en un sistema remoto.

Hay que tener en cuenta además que el malware permite a los piratas informáticos ejecutar ataques de fuerza bruta en FTP, cPanel y Telnet, lo que les permite un acceso amplio.

En definitiva, estamos ante una nueva amenaza que compromete diferentes sistemas. Como vemos los ciberdelincuentes perfeccionan constantemente la manera en la que atacan los equipos. Es vital que nos protejamos correctamente. Podéis ver consejos para evitar la entrada de malware.