自11月初以来，名为JungleSec的勒索软件通过不安全的IPMI（智能平台管理接口）卡感染受害者。

在11月初的报道中，受害者使用的操作系统有Windows、Linux和Mac，但报道并未透露具体感染过程。自那以后，BleepingComputer已与多个受害者联系，他们的Linux服务器均感染了JungleSec勒索软件。根据反馈，这些服务器均通过不安全的IPMI设备感染。

IPMI是内置于服务器主板中的管理接口（或作为附加卡安装），允许管理员远程管理计算机、打开和关闭计算机电源、获取系统信息以及访问提供远程控制台访问权限的KVM。

这对于管理服务器非常有用，尤其是在租用其他公司服务器时。但是，如果未正确配置IPMI接口，则可能允许攻击者使用默认凭据远程连接并控制服务器。

通过IPMI安装JungleSec

在和两名受害者的对话中，BleepingComputer发现攻击者通过服务器的IPMI接口安装了JungleSec勒索软件。一名受害者的IPMI接口使用了默认的制造商密码。另一位受害者的管理员用户已被禁用，但攻击者仍然通过漏洞获取到了访问权限。

一旦获取到对服务器的访问权限（在这两起中都是Linux系统），攻击者就会将计算机重新启动到单用户模式以获得root访问权限。一旦进入单用户模式，他们就下载并编译ccrypt加密程序（ccrypt encryption program）。

根据一名受害者发布的Twitter（posted），一旦下载了ccrypt，攻击者就会手动执行它来加密受害者的文件。攻击者使用的命令类似于：

/usr/local/bin/ccrypt -e -f -S [email protected] -s -r -l /var/lib

输入此命令将提示攻击者输入密码，该密码随后将用于加密文件。

其中一名受害者Alex Negulescu 告诉BleepingComputer，攻击者会在执行sudo命令时显示一条消息，该命令提示受害者应该阅读ENCRYPTED.md文件。

ENCRYPTED.md文件是JungleSec的勒索信息，如下所示。此赎金便条包含联系攻击者[email protected]的说明，并将0.3比特币发送到随附的比特币地址以便恢复文件。

JungleSec赎金便条

另一位名为pupper的受害者告诉BleepingComputer，攻击者还搜索并加载虚拟机磁盘，但没能正确加密它们。

他们加载了所有qemu / kvm磁盘，因此他们也可以加密VM中的所有文件。然而，黑客没能成功感染。

Pupper还告诉我们，攻击者留下了一个侦听TCP端口64321的后门，并创建了一个允许访问此端口的防火墙规则。目前尚不清楚安装了什么程序作为后门程序。

-A INPUT -p tcp -m tcp --dport 64321 -j ACCEPT

最后，有报告称多个受害者已支付赎金，但没有收到攻击者的回复，也没能恢复数据。一般的规则是不支付赎金，因为它会鼓励攻击者进一步开发勒索软件。

如何保护IPMI

IPMI可以直接内置到服务器主板中，也可以通过安装在计算机中的附加卡接入。如果使用IPMI卡，就必须正确保护它们，以便攻击者无法利用它们来破坏服务器。

保护IPMI的第一步是更改默认密码。其中许多卡来自制造商，其默认密码为Admin /Admin之类，因此必须立即更改。

管理员还应配置仅允许某些IP地址访问IPMI接口的ACL。此外，IPMI接口应配置为仅侦听内部IP地址，以便只能由本地管理员或VPN连接访问。

Negulescu的另一个提示（不一定是IPMI接口特有），就是为GRUB引导加载程序添加密码。这样做会使从IPMI远程控制台重新启动到单用户模式（如果不是不可能的话）变得非常困难。