Investigadores de seguridad cibernética han descubierto una nueva variante del botnet Gafgyt que apunta a máquinas con contraseñas SSH débiles para extraer criptomonedas. El descubrimiento indica un cambio hacia la orientación de servidores más potentes en entornos nativos en la nube, según el análisis del investigador de Aqua Security, Assaf Morag.
Desde 2014, Gafgyt (también conocido como BASHLITE, Lizkebab y Torlus) ha sido activo en la explotación de credenciales débiles o predeterminadas para tomar el control de dispositivos como enrutadores, cámaras y grabadoras de video digitales (DVR). El botnet es capaz de aprovechar vulnerabilidades de seguridad conocidas en dispositivos Dasan, Huawei, Realtek, SonicWall y Zyxel.
Además de lanzar ataques de denegación de servicio distribuido (DDoS), Gafgyt y Necro se cree que están operados por un grupo de amenazas conocido como Keksec, también rastreado como Kek Security y FreakOut.
Los botnets de IoT como Gafgyt están en constante evolución, con variantes detectadas en 2021 usando la red TOR para ocultar la actividad maliciosa y tomando prestados módulos del código fuente filtrado de Mirai. El código fuente de Gafgyt se filtró en línea a principios de 2015, alimentando la aparición de nuevas versiones y adaptaciones.
La variante más reciente implica el ataque por fuerza bruta a servidores SSH con contraseñas débiles para facilitar un ataque de minería de criptomonedas utilizando «systemd-net» y terminar malware competidores que ya se ejecutan en el host comprometido.
Además, ejecuta un escáner SSH y de servicios relacionados para propagar el malware a otros sistemas, incluyendo SSH, Telnet, y credenciales relacionadas con servidores de juegos y entornos en la nube como AWS, Azure y Hadoop.
«El minero de criptomonedas en uso es XMRig, un minero de criptomonedas Monero,» dijo Morag. «En este caso, el actor de la amenaza busca ejecutar un minero de criptomonedas utilizando las banderas –opencl y –cuda, que aprovechan el poder de cálculo de la GPU y la GPU de Nvidia.»
«Esto, combinado con el hecho de que el impacto principal del actor de la amenaza es la minería de criptomonedas en lugar de los ataques DDoS, respalda nuestra afirmación de que esta variante difiere de las anteriores. Está dirigida a entornos nativos en la nube con capacidades fuertes de CPU y GPU.»
Los datos de Shodan muestran que hay más de 30 millones de servidores SSH públicamente accesibles, lo que hace que sea esencial que los usuarios tomen medidas para asegurar las instancias contra ataques de fuerza bruta y posibles explotaciones.
Vía The Hacker News
