Szerencsére nem az összes linuxos kiszolgáló érintett, csupán azok, melyek Redis NoSQL adatbázist futtatnak. Ezek közül mintegy 30 ezer lehet sebezhető, elsősorban a rendszergazdák nemtörődömsége miatt. Becslések szerint ugyanis nagyjából ekkora mennyiségben érhetők el internetről ezek a rendszerek anélkül, hogy jelszóval védenék őket.

A Linux.Lady névre keresztelt malware-t az orosz, antivírus szoftvert fejlesztő Dr Web fedezte fel. Közlésük szerint a Google Go programozási nyelvén készült a trójai, mely nagymértékben a GitHubon elérhető, nyílt forrású Go könyvtárakra alapul. A digitális kártevő egy, magánál is kompaktabb trójait - Linux.Downloader.196 – alkalmaz, hogy a sebezhető rendszerekbe bejutva, azaz a fertőzést követően letöltse a valódi tevékenységét adó modult.

Telepítése és futtatása után a Linux.Lady elküldi az áldozattá vált rendszer alapvető információit a vezérlő és irányító szervernek. Következő lépésben utóbbitól konfigurációs file-t kap, aminek segítségével aztán nekilát kiaknázni a kiszolgáltatott szerver erőforrásait. A szabad processzorkapacitást bitcoin-bányászatra használja fel, értelemszerűen a trójai alkotójának bitcoin-számláját gazdagítva ezzel. Emellett igyekszik továbbterjeszteni magát a hálózaton.

A Redis adatbázis-szervert egyébként sokan kritizálják gyenge biztonsága miatt. A júliusi Risk Based Security jelentés szerint az elmúlt hónapban több mint 6 300 veszélyeztetett szerver volt online.

Veszélyben a nyílt forrás

Közel sem a Linux.Lady az első trójai, ami sikerrel támadja az open source rendszereket. Amint arról mi is írtunk, tavaly novemberben fontos mérföldkőhöz ért a ransomware-világ: megjelent a Linux.Encoder.1. Ez ugyanis a LAMP (Linux, Apache, MySQL, PHP) webszervereket támadta – azaz a zsarolók itt már vállalati rendszerek ellen támadtak. A Linux.Encoder.1 380 dollárnyi bitcoint követelt a titkosítás feloldásáért. A program azonban szerencsére kezdetleges volt, így rövid idő után készült hozzá univerzális visszakódoló, amellyel fizetés nélkül helyre lehetett állítani az állományokat.

Az idén áprilisban megjelent Samsam szintén a vállalati körre specializálódott: javítatlan Red Hat JBoss vállalati szervereket keresett, és azokat fertőzte meg. Ennek során RSA kulcspárt generált. A feloldásért 1 bitcoint követelt gépenként, és a beszámolók szerint rengeteg vállalat, közintézmény (például kórház) szerepelt az áldozatok között.