Investigadores rastrean las intrusiones de Linux a la banda de criptojacking

[ad_1]

Los investigadores de seguridad de Bitdefender han descubierto un grupo de amenazas con base en Rumanía activo desde al menos el año pasado dirigido a máquinas basadas en Linux con credenciales débiles del Protocolo Secure Shell (SSH).

Los investigadores descubrieron que el grupo estaba implementando malware de minería Monero que se usa para robar criptomonedas. Ese malware también permite otros tipos de ataques, según Christoph Hebeisen, director de investigación de inteligencia de seguridad en Lookout, una empresa de seguridad de punto a nube, que no está asociada con el informe de Bitdefender.

Esa funcionalidad adicional puede abrir la puerta a actividades maliciosas como el robo de información, el movimiento lateral o las redes de bots ”, dijo a LinuxInsider.

La idea que conecta al grupo con el ángulo de Linux se encuentra entre los últimos incidentes que involucran vulnerabilidades asociadas con Linux. El sistema operativo es de arriba hacia abajo una plataforma informática rigurosa y segura. El problema de violar los sistemas Linux a menudo está relacionado con las configuraciones incorrectas y la falta de atención del usuario a los problemas de seguridad.

“El estado actual de la seguridad de Linux ha evolucionado de manera positiva con más visibilidad y funciones de seguridad integradas. Sin embargo, como muchos sistemas operativos, debe instalarlo, configurarlo y administrarlo teniendo en cuenta la seguridad, ya que así es como los ciberdelincuentes aprovechan el contacto humano ”, dijo Joseph Carson, científico jefe de seguridad y CISO asesor de Thycotic, un proveedor de identidad en la nube. solución de seguridad que tampoco está asociada con el informe de Bitdefender, dijo a LinuxInsider.

Trucos antiguos con herramientas nuevas

Los piratas informáticos que atacan computadoras que ejecutan credenciales SSH débiles no son infrecuentes, según Bitdefender Blog publicado el 15 de julio. Los ataques son más fáciles para los piratas informáticos porque los operadores de computadoras a menudo usan nombres de usuario y contraseñas predeterminados o credenciales SSL débiles.

Los piratas informáticos pueden superar esas debilidades comunes fácilmente con la fuerza bruta. El truco para los piratas informáticos es hacerlo de una manera que permita que los atacantes pasen desapercibidos, según Bitdefender.

Un ataque de fuerza bruta en criptografía implica que un atacante envíe muchas contraseñas o frases de contraseña con la esperanza de adivinarlas correctamente. Los investigadores pueden identificar los grupos de piratas informáticos por las herramientas y los métodos que utilizan.

La cantidad de herramientas originales en esta campaña y su complejidad indica que un individuo o grupo con habilidades significativas creó este conjunto de herramientas, sugirió Hebeisen de Lookout.

“Los actores detrás de las campañas de criptojacking tienen como objetivo utilizar recursos informáticos de terceros para extraer criptomonedas para obtener ganancias financieras. La criptominería es muy computacionalmente intensiva y, como tal, tener instancias en la nube controladas por criptojacking puede aumentar los costos de la nube para la víctima ”, dijo Hebeisen sobre la necesidad de que los piratas informáticos comprometan una gran cantidad de computadoras personales y empresariales.

Trazando el descubrimiento del ataque

El grupo de actores de amenazas que Bitdefender rastreó utiliza herramientas de piratería tradicionales. Los investigadores encontraron entre el conjunto de herramientas de los piratas informáticos una fuerza bruta SSH no reportada previamente escrita en el lenguaje de programación de código abierto Golang, según Bitdefender.

Los investigadores creen que esta herramienta se distribuye como un modelo de servicio, ya que utiliza un servidor de interfaz de programación de aplicaciones (API) centralizado. Los actores de amenazas del grupo proporcionan su clave API en sus scripts.

“Como la mayoría de las otras herramientas de este kit, la herramienta de fuerza bruta tiene su interfaz en una mezcla de rumano e inglés. Esto nos lleva a creer que su autor es parte del mismo grupo rumano ”, señaló el blog de ciberseguridad de Bitdefender.


Los investigadores comenzaron a investigar a este grupo en mayo debido a su campaña de criptojacking con el mismo cargador de software. Luego rastrearon el malware hasta un servidor de archivos en un directorio abierto que también albergaba otros archivos y se sabía que albergaba otro malware desde febrero.

Los investigadores de seguridad conectaron las herramientas originales en este kit de software de piratas informáticos a los ataques vistos en la naturaleza. La mayoría de los piratas informáticos tienen sus métodos y técnicas favoritos. Cuando se usan con suficiente frecuencia, estos crean una huella digital común que se puede usar para rastrearlos digitalmente, según Carson de Thycotic.

“Los que son difíciles de rastrear son los que se esconden detrás del código robado o nunca vuelven a utilizar los mismos métodos y técnicas. Para cada nueva campaña, hacen algo completamente diferente ”, dijo.

Sin embargo, los atacantes que tienden a tomar este camino suelen estar bien financiados y dotados de recursos. La mayoría de los ciberdelincuentes tomarán el camino fácil y reutilizarán tantas herramientas y técnicas existentes como sea posible.

“Realmente dependerá de si al atacante le importa ser descubierto o no. Cuantos más pasos da un atacante para permanecer oculto, tiende a significar que opera dentro de un país que podría ser procesado si se descubre ”, agregó.

Tácticas de hackers arriesgadas

La mayoría de las campañas de criptojacking tratan de robar energía y recursos informáticos. Eso motiva a los actores de amenazas a limitar el impacto para que puedan permanecer ocultos el mayor tiempo posible, según Carson.

El impacto para una organización es que podría afectar el desempeño de las operaciones comerciales y resultar en una factura de energía considerable que, con el tiempo, podría ascender a miles de dólares. Otro riesgo es que el cryptojacking pueda dejar puertas traseras, permitiendo que otros ciberdelincuentes obtengan acceso y causen más daños, como ransomware.

“Las técnicas que se utilizan se han compartido con demasiada frecuencia en la darknet, lo que facilita que cualquier persona con una computadora y una conexión a Internet pueda iniciar una campaña de criptojacking. El objetivo final es extraer criptomonedas para obtener ganancias a expensas de otros ”, dijo Carson.


El éxito o el fracaso de los piratas informáticos en la campaña de distribución de malware depende de las personas que realmente ejecutan el malware (cryptojacking o de otro tipo), señaló Karl Steinkamp, ​​director de productos PCI y garantía de calidad de Coalfire; no asociado con el informe de Bitdefender. El seguimiento de las personas detrás de las actividades variará, observó.

“Algunos de estos malos actores usan hospedaje a prueba de balas, mientras que otros usan hospedaje en lugares donde las fuerzas del orden tienen problemas para participar. También están los malos actores que ejecutan operaciones directamente desde su ubicación principal, y para estos pocos seleccionados, a menudo es trivial rastrear y arrestar a estos individuos ”, dijo Steinkamp a LinuxInsider.

Víctimas en abundancia, una vez encontradas

Los atacantes tienen la ventaja para obtener resultados de ataque exitosos. En parte, eso se debe a que no hay escasez de máquinas Linux comprometidas con credenciales SSH débiles, señaló Bitdefender.

Encontrarlos es donde se esconde el truco.

Los atacantes realizan su búsqueda de víctimas escaneando los servidores de red en busca de credenciales SSH débiles reveladoras. Ese proceso ocurre en tres etapas, explica el blog de Bitdefender.

Los atacantes alojan varios archivos en el servidor. Estos contienen cadenas de herramientas para descifrar servidores con credenciales SSH débiles. Dependiendo del escenario, los atacantes utilizan diferentes herramientas.

  • La primera etapa es el reconocimiento. El kit de herramientas de los piratas informáticos identifica los servidores SSH a través del escaneo de puertos y la captura de pancartas. Las herramientas en juego aquí son ps y masscan.
  • La segunda etapa es el acceso a credenciales. Los piratas informáticos identifican credenciales válidas mediante la fuerza bruta.
  • La tercera etapa es el acceso inicial. Los piratas informáticos se conectan a través de SSH y ejecutan la carga útil de la infección.

El grupo de piratas informáticos utiliza 99x / haiduc (ambos malware Outlaw) y ‘bruto’ durante las dos últimas etapas.

Cuatro claves para mantenerse a salvo

El cryptojacking puede permitir que los malos actores realicen todos los aspectos tradicionales del malware, con los beneficios adicionales de extraer algunas iteraciones de un activo criptográfico. Dependiendo de la distribución / empaquetado del malware y las habilidades técnicas del mal actor, estos mineros criptográficos a menudo apuntarán a Monero, Ethereum y / o Bitcoin, explicó Steinkamp.

Muchos de estos paquetes de malware de criptojacking se venden en sitios clandestinos para permitir que los malos actores novatos y expertos participen de manera similar. Obtener acceso administrativo a uno o más hosts Linux a través de SSH, el sistema o las vulnerabilidades de la aplicación les permitirá un punto de apoyo para intentar comprometer el host y luego extenderse lateral y verticalmente dentro de la organización, dijo.

“Las organizaciones que tienen una sólida gestión de la configuración, alertas, gestión de registros, integridad de archivos y respuesta a incidentes generalmente responderán mejor a una infección de malware como el cryptojacking”, ofreció Steinkamp cuando se le preguntó sobre los esfuerzos de protección para frustrar tales ataques.


Si un malware de criptojacking se basa en una familia de malware similar o en instancias de reutilización de código en malware, las reglas antimalware y la heurística probablemente detectarán variantes de criptojacking de malware más nuevas, continuó.

La presencia de malware de criptojacking para intentar ocultarse utilizando compiladores de scripts de shell es fácilmente reversible utilizando herramientas gratuitas que se encuentran en Github, lo que permite a los equipos de seguridad descompilar malware basado en x86, x64, MIPS y ARM.

En términos de los malos actores que utilizan un mecanismo de comando y control (C2) diferente para la presentación de información, es una ocurrencia nueva pero no inesperada, según Steinkamp. El malware de criptojacking ha utilizado y sigue utilizando IRC y HTTP para las comunicaciones, y ahora estamos viendo Discord.

“Cada uno de estos, de forma predeterminada, transmite información clave del host comprometido en texto sin cifrar, lo que permite a la víctima iniciar sesión y ver fácilmente las comunicaciones. Sin embargo, ambos también pueden configurarse para usar SSL, lo que dificulta el seguimiento ”, señaló.

[ad_2]

Source link