自11月初以來，一種名為JungleSec的勒索軟體通過不安全的IPMI(智慧平臺管理介面)卡感染受害者。最初人們只看到受害者使用Windows、Linux和Mac，但沒有跡象表明他們是如何被感染的。此後，BleepingComputer的人員與多名感染了JungleSec勒索軟體的Linux伺服器受害者進行溝通後發現，受害者們都是通過不安全的IPMI裝置被感染。

IPMI是內置於伺服器主機板中的管理介面，或作為附加卡安裝，允許管理員遠端管理計算機，開啟和關閉計算機電源，獲取系統資訊以及訪問可為使用者提供遠端控制檯訪問許可權的KVM。尤其是在遠端配置中心的其他公司租用伺服器時，它為管理伺服器提供了極大便利。但是，如果未正確配置IPMI介面，則可能允許攻擊者使用預設憑據遠端連線並控制伺服器。

通過IPMI安裝JungleSec

在BleepingComputer和兩名受害者之間的對話中，研究人員發現攻擊者通過伺服器的IPMI介面安裝了JungleSec勒索軟體。在一種情況下，IPMI介面使用預設的製造商密碼。另一位受害者表示管理員使用者已被禁用，但攻擊者仍然可以通過可能的漏洞獲取訪問許可權。

一旦使用者獲得了對伺服器的訪問許可權（在這兩種情況下都是Linux），攻擊者就會將計算機重新啟動到單使用者模式以獲得root訪問許可權。一旦進入單使用者模式，他們就下載並編譯了ccrypt加密程式。

其中一名受害者在twitter上發帖稱，一旦下載了ccrypt，攻擊者就會手動執行它來加密受害者的檔案。攻擊者使用的命令類似於：

/usr/local/bin/ccrypt -e -f -S [email protected] -s -r -l /var/lib

輸入此命令將提示攻擊者輸入密碼，該密碼隨後將用於加密檔案。

另一名受害者Alex Negulescu告訴BleepingComputer，攻擊者會在執行sudo命令時顯示一條訊息，該命令表明受害者應該讀取ENCRYPTED.md檔案。

ENCRYPTED.md檔案是JungleSec Ransomware的勒索資訊，如下所示。這張贖金說明包含聯絡攻擊者[email protected]的資訊提示，要求將3比特幣傳送到隨附的比特幣地址以便恢復檔案。

此外，Twitter上名為pupper的受害者表示，攻擊者還搜尋並安裝了虛擬機器磁碟，但無法正確加密它們。“他們安裝了所有qemu/kvm磁碟，這樣他們也可以加密vm中的所有檔案。但是黑客從來沒有感染過超過1個無用的主目錄和1個KVM機器。”攻擊者還留下了一個偵聽TCP埠64321的後門，並建立了一個允許訪問此埠的防火牆規則。目前還不清楚安裝了什麼程式作為後門程式。

最後，還出現了一種特別的情況：有多個受害者支付勒索軟體的報告，但沒有收到攻擊者的回覆，也無法恢復他們的資料。

如何保護IPMI介面

• IPMI介面可以直接整合到伺服器主機板中，也可以通過安裝在計算機中的附加卡接入。如果您使用的是IPMI介面，則必須正確保護它們，以便攻擊者無法利用它們來破壞伺服器。
• 保護IPMI介面的第一步是更改預設密碼。大多卡的出廠預設密碼都為Admin / Admin，易於猜測，因此必須立即更改密碼。
• 管理員還應配置僅允許某些IP地址訪問IPMI介面的ACL。此外，IPMI介面應配置為僅偵聽內部IP地址，以便只能由本地管理員或VPN連線訪問。
• 為GRUB引導載入程式新增密碼。這樣做會使從IPMI遠端控制檯重新啟動到單使用者模式變得更加困難。