Seguridad

Los investigadores rastrean las intrusiones de Linux a una pandilla de cryptojacking

Los investigadores de seguridad de Bitdefender han descubierto un grupo de amenazas basado en Rumanía activo desde al menos el año pasado que se dirige a máquinas basadas en Linux con credenciales débiles del protocolo Secure Shell (SSH).

Los investigadores descubrieron que el grupo estaba implementando el malware de minería Monero utilizado para robar criptomonedas. Ese malware también permite otros tipos de ataques, según Christoph Hebeisen, director de investigación de inteligencia de seguridad en Lookout, una empresa de seguridad de punto final a la nube, que no está asociado con el informe de Bitdefender.

Esa funcionalidad adicional puede abrir la puerta a actividades maliciosas como el robo de información, el movimiento lateral o las botnets”, dijo a LinuxInsider.

La idea que conecta al grupo con el ángulo de Linux se encuentra entre los últimos incidentes que involucran vulnerabilidades asociadas con Linux. El sistema operativo es de arriba hacia abajo una plataforma informática rigurosa y segura. El problema con la violación de los sistemas Linux a menudo está relacionado con configuraciones incorrectas y la falta de atención del usuario a los problemas de seguridad.

“El estado actual de la seguridad de Linux ha evolucionado de forma positiva con más funciones de visibilidad y seguridad integradas. Sin embargo, como muchos sistemas operativos, debe instalarlo, configurarlo y administrarlo teniendo en cuenta la seguridad, ya que así es como los ciberdelincuentes se aprovechan a través del toque humano”, Joseph Carson, científico jefe de seguridad y CISO asesor de Thycotic, un proveedor de servicios de identidad en la nube. solución de seguridad que tampoco está asociada con el informe de Bitdefender, dijo a LinuxInsider.

Viejos trucos con nuevas herramientas

Según un blog de Bitdefender publicado el 15 de julio, no es poco común que los piratas informáticos ataquen computadoras que ejecutan credenciales SSH débiles.

Los piratas informáticos pueden superar fácilmente esas debilidades comunes con la fuerza bruta. El truco para los piratas informáticos es hacerlo de forma que los atacantes pasen desapercibidos, según Bitdefender.

Un ataque de fuerza bruta en criptografía implica que un atacante envíe muchas contraseñas o frases de contraseña con la esperanza de adivinar correctamente. Los investigadores pueden identificar grupos de piratas informáticos por las herramientas y los métodos que utilizan.

La cantidad de herramientas originales en esta campaña y su complejidad indican que un individuo o grupo con habilidades significativas creó este conjunto de herramientas, sugirió Lookout’s Hebeisen.

“Los actores detrás de las campañas de cryptojacking tienen como objetivo utilizar recursos informáticos de terceros para extraer criptomonedas para su beneficio financiero. La criptominería es muy intensiva desde el punto de vista computacional y, como tal, el hecho de que el cryptojacking se haga cargo de las instancias de la nube puede aumentar los costos de la nube para la víctima”, dijo Hebeisen sobre la necesidad de que los piratas informáticos comprometan una gran cantidad de computadoras personales y empresariales.

Trazando el descubrimiento del ataque

El grupo de actores de amenazas rastreado por Bitdefender utiliza herramientas de piratería tradicionales. Los investigadores encontraron entre el conjunto de herramientas de los piratas informáticos un SSH bruteforcer no informado previamente escrito en el lenguaje de programación de código abierto Golang, según Bitdefender.

Los investigadores creen que esta herramienta se distribuye como un modelo de servicio, ya que utiliza un servidor de interfaz de programación de aplicaciones (API) centralizado. Los actores de amenazas en el grupo proporcionan su clave API en sus scripts.

“Como la mayoría de las otras herramientas en este kit, la herramienta de fuerza bruta tiene su interfaz en una mezcla de rumano e inglés. Esto nos lleva a creer que su autor es parte del mismo grupo rumano”, señaló el blog de ciberseguridad de Bitdefender.

Los investigadores comenzaron a investigar a este grupo en mayo debido a su campaña de cryptojacking con el mismo cargador de software. Luego rastrearon el malware hasta un servidor de archivos en un directorio abierto que también albergaba otros archivos y se sabía que albergaba otro malware desde febrero.

Los investigadores de seguridad conectaron las herramientas originales en este kit de software de los piratas informáticos con los ataques que se observaron en la naturaleza. La mayoría de los hackers tienen sus métodos y técnicas favoritos. Cuando se usan con la suficiente frecuencia, crean una huella digital común que se puede usar para rastrearlos digitalmente, según Carson de Thycotic.

“Los que son difíciles de rastrear son los que se esconden detrás del código robado o nunca vuelven a utilizar los mismos métodos y técnicas. Para cada nueva campaña, hacen algo completamente diferente”, dijo.

Sin embargo, los atacantes que tienden a tomar este camino suelen estar bien financiados y con recursos. La mayoría de los ciberdelincuentes tomarán el camino fácil y reutilizarán tantas herramientas y técnicas existentes como sea posible.

“Realmente dependerá de si al atacante le importa ser descubierto o no. Cuantos más pasos tome un atacante para permanecer oculto, tiende a significar que opera dentro de un país en el que podría ser procesado si es descubierto”, agregó.

Tácticas de hackers arriesgadas

La mayoría de las campañas de cryptojacking tienen que ver con el robo de energía y recursos informáticos. Eso motiva a los actores de amenazas a limitar el impacto para que puedan permanecer ocultos el mayor tiempo posible, según Carson.

El impacto para una organización es que podría afectar el rendimiento de las operaciones comerciales y generar una factura de energía considerable que, con el tiempo, podría ascender a miles de dólares. Otro riesgo es que el cryptojacking pueda dejar puertas traseras, lo que permite que otros ciberdelincuentes obtengan acceso y causen más daños, como ransomware.

“Las técnicas que se utilizan se han compartido con demasiada frecuencia en la red oscura, lo que facilita que cualquier persona con una computadora y una conexión a Internet inicie una campaña de cryptojacking. El objetivo final es extraer criptomonedas para obtener ganancias a expensas de otros”, dijo Carson.

El éxito o el fracaso de los piratas informáticos en la campaña de distribución de malware depende de las personas que realmente ejecutan el malware (cryptojacking o de otro modo), señaló Karl Steinkamp, ​​director de productos PCI y garantía de calidad en Coalfire; no asociado con el informe de Bitdefender. Rastrear a las personas detrás de las actividades variará, observó.

“Algunos de estos malos actores utilizan alojamiento a prueba de balas, mientras que otros utilizan alojamiento en lugares donde las fuerzas del orden tienen problemas para participar. También están los malos que ejecutan operaciones directamente desde su ubicación principal, y para estos pocos seleccionados, a menudo es trivial rastrear y arrestar a estas personas”, dijo Steinkamp a LinuxInsider.

Víctimas en abundancia, una vez encontradas

Los atacantes tienen la ventaja para obtener resultados de ataque exitosos. En parte, eso se debe a que no hay escasez de máquinas Linux comprometidas con credenciales SSH débiles, señaló Bitdefender.

Encontrarlos es donde se esconde el truco.

Los atacantes realizan su búsqueda de víctimas escaneando los servidores de la red en busca de credenciales SSH débiles reveladoras. Ese proceso ocurre en tres etapas, explicó el blog de Bitdefender.

Los atacantes alojan varios archivos en el servidor. Estos contienen cadenas de herramientas para descifrar servidores con credenciales SSH débiles. Dependiendo de la etapa, los atacantes utilizan diferentes herramientas.

  • La etapa uno es de reconocimiento. El kit de herramientas de los piratas informáticos identifica los servidores SSH a través del escaneo de puertos y la captura de pancartas. Las herramientas en juego aquí son ps y masscan.
  • La segunda etapa es el acceso mediante credenciales. Los piratas informáticos identifican credenciales válidas a través de la fuerza bruta.
  • La etapa tres es el acceso inicial. Los piratas informáticos se conectan a través de SSH y ejecutan la carga útil de la infección.

El grupo de hackers usa 99x/haiduc (ambos malware Outlaw) y ‘brute’ para las dos últimas etapas.

Cuatro claves para mantenerse a salvo

El cryptojacking puede permitir que los malos actores realicen todos los aspectos tradicionales del malware, con los beneficios adicionales de extraer alguna iteración de un criptoactivo. Dependiendo de la distribución/empaquetado del malware y las habilidades técnicas del mal actor, estos criptomineros a menudo apuntarán a Monero, Ethereum y/o Bitcoin, explicó Steinkamp.

Muchos de estos paquetes de malware de cryptojacking se venden en sitios clandestinos para permitir que los malos actores, desde principiantes hasta expertos, participen de manera similar. Obtener acceso administrativo a uno o más hosts Linux a través de SSH, sistema o vulnerabilidades de aplicaciones les permitirá un punto de apoyo para intentar comprometer el host y luego expandirse lateral y verticalmente dentro de la organización, dijo.

“Las organizaciones que cuentan con una sólida gestión de la configuración, alertas, gestión de registros, integridad de archivos y respuesta a incidentes, por lo general responderán mejor a una infección de malware como el cryptojacking”, ofreció Steinkamp cuando se le preguntó sobre los esfuerzos de protección para frustrar tales ataques.

Si un malware de cryptojacking se basa en una familia de malware similar o instancias de reutilización de código en malware, las reglas antimalware y la heurística probablemente detectarán variantes de cryptojacking de malware más nuevas, continuó.

La presencia de malware de cryptojacking para intentar ocultarse usando compiladores de scripts de shell es fácilmente reversible usando herramientas de software gratuito que se encuentran en Github, lo que permite a los equipos de seguridad descompilar malware basado en x86, x64, MIPS y ARM.

En términos de malos actores que usan un mecanismo de comando y control (C2) diferente para el reporte de información, es una ocurrencia nueva pero no inesperada, según Steinkamp. El malware de cryptojacking ha usado y continúa usando IRC y HTTP para las comunicaciones, y ahora estamos viendo Discord.

“Cada uno de estos, de forma predeterminada, transmite información clave del host comprometido en texto claro, lo que permite a la víctima iniciar sesión y ver fácilmente las comunicaciones. Ambos, sin embargo, también pueden configurarse para usar SSL, lo que dificulta el seguimiento”, señaló.

LEER  Los piratas informáticos de SolarWinds siguen apuntando a Microsoft, concéntrense en el personal de soporte

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba