Foi descoberto um novo malware, o KimcilWare, que usa pelo menos dois tipos de scripts visando sites da Magento, uma plataforma popular de e-commerce.
O KimcilWare visa sites e criptografa arquivos ligados a plataforma Magento, acrescentando a extensão “.kimcilware” no final de cada arquivo, inutilizando-os. Depois exige o pagamento de resgate. Além disso, o KimcilWare adiciona seu próprio index.html ao servidor, imprimindo uma nota de resgate com o título “Servidor da Web Criptografado” e a seguinte mensagem “Os arquivos de seu servidor foram criptografados com um codificador de algoritmo unix. Você deve paugar [sic] 140$ para decodificar os arquivos do servidor da web. Pagamento apenas em Bitcoins. Para mais informações, entre em contato comigo.” Um email também está vinculado a um ransomware para Windows chamado MireWare, que é baseado no Hidden Tear, uma variante de ransomware feita com falhas de criptografia para evitar abusos.
Outra variante desse ransomware anexa a extensão “.locked”aos arquivos criptografados, exigindo o pagamento de um resgate de 1 Bitcoin ($415) por uma chave de decodificação. Com base em novas descobertas, o ransomware usa uma cifra de bloqueio Rijndael para criptografar arquivos, tornando virtualmente impossível decodificar os dados sem pagar.
Até agora, não há informações sobre qual método foi usado para infectar os servidores da Magento, porém, a Magento divulgou uma atualização de segurança na quarta-feira incluindo um patch para cross-site scripting (XSS), execução de código, força bruta, proteção de dados insuficiente e informações sobre problemas divulgados. A Magento também alertou sobre uma campanha envolvendo senhas obtidas usando técnicas de força bruta para ganhar acesso a painéis de administração.