Investigadores de seguridad de la información han revelado un ataque cryptojacking extremadamente complejo llamado RedisWannaMine, que está impulsado por los exploits de Redis y NSA y dirigido tanto a los servidores de bases de datos como a los servidores de aplicaciones
Según una publicación de blog, el ataque cryptojacking de nueva generación, demuestra un comportamiento tipo gusano combinado con exploits avanzados para aumentar la tasa de infección de los atacantes y engordar sus billeteras. Los atacantes apuntan a máquinas que usan el exploit SME EternalBlue de la NSA, así como el servidor de caché de Redis.
Los investigadores encontraron el malware cuando sondeó un servidor remoto y encontró una lista de archivos sospechosos. La lista incluye archivos maliciosos conocidos, como minerd, pero también algunos archivos sospechosos desconocidos como transfer.sh.
Un archivo de script de shell que encontró fue un programa de descarga que es similar en algunos aspectos a los descargadores de cryptojacking más antiguos. Este archivo descarga un malware crypto miner desde una ubicación externa, gana persistencia en la máquina a través de nuevas entradas en crontab y obtiene acceso remoto a la máquina a través de una nueva entrada de clave ssh en /root/.ssh/authorized_keys y nuevas entradas en el sistema iptables, reportaron investigadores de seguridad de la información.
Según los investigadores, el script instala una gran cantidad de paquetes utilizando los gestores de paquetes estándar de Linux, como apt y yum. “Esto es probablemente para asegurarse de que sea autosuficiente y no necesite depender de las bibliotecas locales en la máquina de la víctima”, dijeron.
También descarga una herramienta públicamente disponible, llamada masscan, de un repositorio de Github, luego la compila e instala. El script inicia otro proceso llamado “redisscan.sh”. El nuevo proceso utiliza el masscantool mencionado anteriormente para descubrir e infectar los servidores Redis disponibles públicamente.
Una vez que el script completó el escaneo de Redis, se inicia otro proceso de escaneo llamado “ebscan.sh”. Esta vez, el nuevo proceso utiliza la herramienta masscan para descubrir e infectar servidores Windows disponibles públicamente con la versión SMB vulnerable.
“La vulnerabilidad de SMB que esta secuencia de comandos está explorando fue utilizada por la NSA para crear el exploit” Eternal Blue”. Este exploit fue adaptado posteriormente para llevar a cabo “WannaCry”, uno de los mayores ciberataques en el mundo “, dijeron los investigadores.
Los investigadores de seguridad de la información dijeron que las organizaciones deberían proteger las aplicaciones web y las bases de datos. “El vector de ataque inicial se introdujo a través de una vulnerabilidad de aplicación web. Una aplicación correctamente parcheada o una aplicación protegida por un WAF debe ser segura “, dijo Nadav Avital, analista de seguridad de aplicaciones técnicas.
Joseph Carson, jefe de seguridad de Thycotic, dijo que sin lugar a dudas veremos más ciberataques utilizando las hazañas de Redis y NSA ya que muchas organizaciones de todo el mundo siguen teniendo problemas con Patch Management. “Los hackers siempre seguirán utilizando cualquier sistema con exploits no parcheados de vulnerabilidades conocidas”.
“Aplicar un enfoque de privilegios mínimos y gestión de acceso privilegiado reducirá la capacidad de dichos exploits para moverse fácilmente e infectar sistemas en la red, lo que significa que incluso si un ciberataque es exitoso, el impacto para la organización puede mantenerse aislado”. El experto en seguridad de la información agrego.
Jon Topper, CTO de The Scale Factory, dijo que los atacantes no discriminan: usarán cualquier exploit que los lleve a un sistema remoto. “Si hay una cantidad de servidores Redis y SMB en el acceso público y sin parches, entonces corren el riesgo de ser utilizados como un vector de ataque “, dijo.
“Las organizaciones pueden mitigar los ataques poniendo en marcha mejores controles de acceso a la red; ni los servidores Redis ni SMB deben estar orientados a Internet en la mayoría de los casos de uso”. En un entorno corporativo, es posible que tenga servidores SMB accesibles para las estaciones de trabajo de los usuarios, por lo que una estación de trabajo comprometida podría usarse como un vector para obtener acceso a un servidor SMB. Si está ejecutando un software de servidor, debe mantenerlo actualizado. Sin peros, peros ni excusas “, agrego el experto en seguridad de la información.