¿Recuerdan SambaCry? Pues volvió en forma de chapas
Hace un poco más de una semana reportamos una vulnerabilidad
crítica en el software de red Samba, (una reimplementación del protocolo de red
SMB) que le permite a un atacante remoto tomar control total de máquinas que
usen Linux y Unix.
Para saber más sobre la vulnerabilidad SambaCry (CVE-2017-7494)
y como funciona, puedes leer nuestro artículo previo.
En ese tiempo, se descubrió que cerca de 485.000
computadoras con Samba instalado estaban expuestas en el internet, y los
investigadores predijeron que los ataques que aprovechasen la vulnerabilidad
también tenían la probabilidad de esparcirse tan extensamente como los del
ransomware WannaCry.
La predicción resultó ser extremadamente acertada, ya que
los honeypots creados por el equipo de investigadores de Kaspersky Labs
capturaron una campaña de malware que está explotando la vulnerabilidad de
SambaCry para infectar computadoras que ejecuten Linux, instalando un software
de minería de criptomonedas.
Otro investigador de seguridad, Omri Ben Bassat descubrió la
misma campaña de forma independiente y la nombró “EternalMiner.”
De acuerdo a los investigadores, un grupo de hackers
desconocido ya ha empezado a secuestrar pc’s que corran Linux sólo una semana
después de que la falla en Samba fue revelada públicamente, los hackers la
aprovechan para instalar una versión de “CPUminer” un software de minado de
criptomonedas, específicamente una llamada “Monero”.
Después de comprometer a las maquinas vulnerables usando la
vulnerabilidad, los atacantes ejecutan dos “cargas explosivas” en los sistemas
elegidos como blanco:
INAebsGB.so - Un Shell inverso que proporciona acceso remoto
a los atacantes.
CblRWuoCc.so - Un backdoor que incluye utilidades de minería
de criptomonedas - CPUminer.
“A través del Shell inverso dejado en el sistema, los atacantes malintencionados pueden cambiar la configuración de un software minero que ya esté corriendo o infectar la computadora de la víctima con otros tipos de malware,” Dijeron los indagadores de Kaspersky.
Minar criptomonedas puede suponer una gran inversión, ya que
requiere una enorme cantidad de poder de procesamiento, pero este tipo de
malware lo hace más fácil para los cibercriminales al permitirles utilizar el
poder de procesamiento de sistemas secuestrados para obtener ganancias.
Si ha estado siguiendo regularmente blogs de seguridad
informática, debes conocer a Adylkuzz, un malware de minería de criptomonedas
que estaba utilizando la vulnerabilidad de SMB de Windows al menos dos semanas
antes del estallido de los ataques de ransomware de WannaCry.
El malware Adylkuzz también estaba minando Monero mediante
la utilización de la enorme cantidad de recursos informáticos de los sistemas
comprometidos de Windows.
Los atacantes detrás del ataque de CPUminer basado en
SambaCry ya han ganado 98 XMR y esta cifra aumenta continuamente con el aumento
en el número de sistemas Linux comprometidos.
"Durante el primer día ganaron alrededor de 1 XMR (alrededor de 55$ según el tipo de cambio de la moneda del 08.06.2017), pero durante la última semana ganaron cerca de 5 XMR por día", dicen los investigadores.
Los desarrolladores de Samba ya han arreglado el problema en
sus nuevas versiones 4.6.4 / 4.5.10 / 4.4.14, e instan a aquellos que usan una
versión vulnerable de Samba a instalar el parche lo antes posible.
Sign up here with your email
ConversionConversion EmoticonEmoticon