15 de agosto de 2024Ravie LakshmananSeguridad de la red / Ciberdelito Los investigadores de ciberseguridad han descubierto una nueva variante de la botnet Gafgyt que apunta a máquinas con contraseñas SSH débiles para, en última instancia, extraer criptomonedas en instancias comprometidas utilizando su potencia computacional de GPU. Esto indica que «la botnet de IoT está apuntando a servidores más robustos que se ejecutan en entornos nativos de la nube», dijo el investigador de Aqua Security, Assaf Morag, en un análisis del miércoles. Gafgyt (también conocida como BASHLITE, Lizkebab y Torlus), conocida por estar activa desde 2014, tiene un historial de explotación de credenciales débiles o predeterminadas para obtener el control de dispositivos como enrutadores, cámaras y grabadoras de video digitales (DVR). También es capaz de aprovechar fallas de seguridad conocidas en dispositivos Dasan, Huawei, Realtek, SonicWall y Zyxel. Los dispositivos infectados son acorralados en una botnet capaz de lanzar ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés. Hay evidencia que sugiere que Gafgyt y Necro son operados por un grupo de amenazas llamado Keksec, que también se rastrea como Kek Security y FreakOut. Las botnets de IoT como Gafgyt evolucionan constantemente para agregar nuevas funciones, con variantes detectadas en 2021 que usan la red TOR para encubrir la actividad maliciosa, así como para tomar prestados algunos módulos del código fuente filtrado de Mirai. Vale la pena señalar que el código fuente de Gafgyt se filtró en línea a principios de 2015, lo que impulsó aún más la aparición de nuevas versiones y adaptaciones. Las últimas cadenas de ataque implican la fuerza bruta de servidores SSH con contraseñas débiles para implementar cargas útiles de la siguiente etapa para facilitar un ataque de minería de criptomonedas utilizando «systemd-net», pero no antes de terminar el malware competidor que ya se está ejecutando en el host comprometido. También ejecuta un módulo de gusanos, un escáner SSH basado en Go llamado ld-musl-x86, que es responsable de escanear Internet en busca de servidores poco seguros y propagar el malware a otros sistemas, expandiendo efectivamente la escala de la botnet. Esto incluye SSH, Telnet y credenciales relacionadas con servidores de juegos y entornos de nube como AWS, Azure y Hadoop. «El criptominero en uso es XMRig, un minero de criptomonedas Monero», dijo Morag. «Sin embargo, en este caso, el actor de la amenaza está buscando ejecutar un criptominero usando los indicadores –opencl y –cuda, que aprovechan la potencia computacional de la GPU y la GPU de Nvidia». «Esto, combinado con el hecho de que el impacto principal del actor de la amenaza es la criptominería en lugar de los ataques DDoS, respalda nuestra afirmación de que esta variante difiere de las anteriores. Está dirigida a entornos nativos de la nube con fuertes capacidades de CPU y GPU». Los datos recopilados mediante la consulta a Shodan muestran que hay más de 30 millones de servidores SSH de acceso público, por lo que es esencial que los usuarios tomen medidas para proteger las instancias contra ataques de fuerza bruta y posibles explotaciones. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.