Video: EN ESTE SERVIDOR nuevo DE HCF TODOS QUICKDROPEAN + *OWNER CORRUPTO* LA BUGUEA I DROPEO A UN HATER (Noviembre 2024)
Los atacantes infectaron y tomaron el control de más de 25, 000 servidores Unix para crear una plataforma masiva de distribución de spam y malware, dijo ESET. Los administradores de Linux y Unix deben verificar de inmediato si sus servidores están entre las víctimas.
La pandilla detrás de la campaña de ataque usa los servidores infectados para robar credenciales, distribuir spam y malware, y redirigir a los usuarios a sitios maliciosos. Los servidores infectados envían 35 millones de mensajes de spam cada día y redirigen a medio millón de visitantes de la web a sitios maliciosos diariamente, dijo Pierre-Marc Bureau, gerente de programas de inteligencia de seguridad de ESET. Los investigadores creen que la campaña, denominada Operación Windigo, ha secuestrado más de 25, 000 servidores en los últimos dos años y medio. El grupo tiene actualmente 10.000 servidores bajo su control, dijo Bureau.
ESET lanzó un documento técnico con más detalles sobre la campaña e incluyó un simple comando ssh que los administradores pueden usar para determinar si sus servidores han sido secuestrados. Si ese es el caso, los administradores deben reinstalar el sistema operativo en el servidor infectado y cambiar todas las credenciales utilizadas para iniciar sesión en la máquina. Dado que Windigo obtuvo las credenciales, los administradores deben asumir que todas las contraseñas y las claves privadas OpenSSH utilizadas en esa máquina están comprometidas y deben cambiarse, advirtió ESET. Las recomendaciones se aplican a los administradores de Unix y Linux.
Limpiar la máquina y volver a instalar el sistema operativo desde cero puede parecer un poco extremo, pero teniendo en cuenta que los atacantes habían robado las credenciales de administrador, instalado puertas traseras y obtenido acceso remoto a los servidores, parece necesario tomar la opción nuclear.
Elementos de ataque
Windigo se basa en un cóctel de malware sofisticado para secuestrar e infectar los servidores, incluidos Linux / Ebury, una puerta trasera OpenSSH y un ladrón de credenciales, así como otras cinco piezas de malware. En el transcurso de un solo fin de semana, los investigadores de ESET observaron que más de 1.1 millones de direcciones IP diferentes pasaban por la infraestructura de Windigo antes de ser redirigidos a sitios maliciosos.
Los sitios web comprometidos por Windigo a su vez infectaron a los usuarios de Windows con un kit de exploits que impulsaba el fraude de clics y el envío de correo no deseado, mostraba mensajes cuestionables para sitios de citas a usuarios de Mac y redirigía a los usuarios de iPhone a sitios de pornografía en línea. Organizaciones reconocidas como cPanel y kernel.org estaban entre las víctimas, aunque han limpiado sus sistemas, dijo Bureau.
Los sistemas operativos afectados por el componente de spam incluyen Linux, FreeBSD, OpenBSD, OS X e incluso Windows, dijo Bureau.
Servidores Pícaros
Teniendo en cuenta que tres de cada cinco sitios web del mundo se ejecutan en servidores Linux, Windigo tiene muchas víctimas potenciales para jugar. La puerta trasera utilizada para comprometer los servidores se instaló manualmente y explota la configuración deficiente y los controles de seguridad, no las vulnerabilidades de software en el sistema operativo, dijo ESET.
"Este número es significativo si considera que cada uno de estos sistemas tiene acceso a un ancho de banda significativo, almacenamiento, potencia informática y memoria", dijo Bureau.
Un puñado de servidores infectados con malware puede causar mucho más daño que una gran red de bots de computadoras normales. Los servidores generalmente tienen mejor hardware y potencia de procesamiento, y tienen conexiones de red más rápidas que las computadoras de los usuarios finales. Recuerde que los poderosos ataques distribuidos de denegación de servicio contra varios sitios web bancarios el año pasado se originaron en servidores web infectados en centros de datos. Si el equipo detrás de Windigo cambia alguna vez las tácticas de solo usar la infraestructura para propagar el spam y el malware a algo aún más desagradable, el daño resultante podría ser significativo.
