Een nieuw ransomware-exemplaar genaamd JungleSec infecteert Linux-server via onbeveiligde IPMI-interfaces. IPMI staat voor Intelligent Platform Management Interface en is een managementinterface die onderdeel van moederborden is of als insteekkaart kan worden toegevoegd.

Via de IPMI-interface is het mogelijk om de server op afstand te beheren, aan en uit te zetten en toegang tot de remote console te krijgen. Verschillende slachtoffers van de JungleSec-ransomware laten tegenover Bleeping Computer weten dat hun Linux-server via een onbeveiligde IPMI-interface besmet is geraakt. Bij één van de slachtoffers bleek de interface nog het standaard door de fabrikant ingestelde wachtwoord te gebruiken.

Nadat de aanvaller toegang tot de interface heeft gekregen wordt de computer in single usermode herstart om zo roottoegang te krijgen. In de single usermode wordt vervolgens de ransomware gedownload en uitgevoerd. JungleSec versleutelt allerlei bestanden op het systeem en vraagt 1000 euro voor het ontsleutelen van de bestanden.

Beheerders van servers met een IPMI-interface krijgen het advies om het standaardwachtwoord te wijzigen en de access control list (ACL) zo in te stellen dat alleen bepaalde ip-adressen toegang hebben.