Fossbytesは9月7日(米国時間)、「Thousands Of Linux Servers Infected By Lilu (Lilocked) Ransomware」において、世界中のLinuxサーバがLilockedまたはLiluと呼ばれるランサムウェアに感染していると伝えた。

既に数千台のLinuxサーバがこのランサムウェアに感染したとされている(フランスのセキュリティ研究者であるBenkow氏によれば、感染したLinuxサーバの台数は6700台に上るという)。このランサムウェアは2019年7月中旬に感染が始まり、この2週間で攻撃を広げている。

どのような経路でLinuxサーバに侵入し、root権限を取得しているのかは明らかにされていない。Fossbytesはロシアのフォーラムに掲載されていた情報として、機能していないEximソフトウェアを搭載したLinuxサーバを狙っているようだという予測を示している。

Lilocked (Lilu)ランサムウェアに感染したサーバは、.lilockedという拡張子のファイルにロックされる。対象となるファイルはHTML、SHTML、JavaScript、CSS、PHP、INI、そのほか画像ファイルなどとされており、システムファイルは暗号化の対象にならない。

このため、Linuxサーバそのものは正常に機能し続ける。暗号化されたHTMLファイルなどはGoogleの検索結果にキャッシュされているデータなどから復元を試みることも可能と見られている。

このランサムウェアは感染経路やそのメカニズムが明らかにされていない点に注意が必要。セキュリティアドバイザリはまだ発行されておらず、対処方法も不明。Fossbytesの記事では強力なパスワードを使うことや、セキュリティパッチが公開されたタイミングでアップデートを実施することなどが推奨されている。