Un nuevo malware amenaza a equipos Linux para realizar ataques DDoS y minería de criptomonedas
Los actores de amenazas están comenzando a centrarse en dispositivos de red, con nuevas modalidades que pueden convertir un terminal infectado en parte de una botnet.
La firma de ciberseguridad Eclypsium ha identificado 2 nuevas muestras de malware que, previamente, nunca habían sido identificadas.
Concretamente, estas aparecieron por primera vez el 6 de marzo de este mismo año, y se las ha bautizado como CondiBot, una variante DDoS de botnet, y Monaco, un escáner SSH y criptominería.
Estas nuevas muestran, según la firma, muestran una tendencia cambiante en los ataques de los últimos meses, que no se limita solo a grupos patrocinados por Estados, sino también a ciberdelincuentes relacionados con operaciones de minería de criptomonedas.
En el caso de CondiBot, es una variante DDoS derivada de Mirai y se comporta como un binario escrito en C diseñado para que los dispositivos Linux comprometidos pasen a formar de una botnet para ataques a gran escala.
Al parecer, no solo ataca a Fortinet, sino que también afecta a otros dispositivos de red, con un agente genérico de Linux Botnet que intenta diferentes métodos de descarga en diferentes archivos con cargas útiles.
El gran peligro es que, tras la descarga e instalación de este, el bot comienza a actuar, deshabilita las capacidades de reinicio y se conecta a un servidor C2, manteniendo activo el servicio botnet para acabar con otras redes de bots.
En cuanto a Monaco, es un escáner SSH y criptominero, escrito en Go, para realizar ataques de fuerza bruta sobre servidores SSH y convertir el dispositivo infectado en una nueva fuente de ingresos para los atacantes.
Para ello, escanea direcciones IP públicas aleatorias para SSH –que usa el puerto 22–, sin incluir rangos privados o reservados; a partir de ahí, inicia un ataque de fuerza bruta con contraseñas básicas, como admin, ubuntu, root, etc.
De nuevo, este malware elimina a otros competidores en minería de criptomonedas y, según la firma de seguridad, parece que tiene relación con personas de habla china, al estar alojado en Alibaba Cloud Singapore (IP 8.222.206.6).
En cualquier caso, los ciberdelincuentes demuestran con estas nuevas modalidades identificadas que los dispositivos de red también son un objetivo a tener en cuenta a la hora de aplicar políticas de ciberseguridad en empresas.
Según diferentes informes de equipos especializados, como el de investigación de Google, los actores de amenazas persistentes están priorizando los dispositivos de red como un vector de ataque inicial, pudiendo moverse de forma lateral por la estructura de la organización.
Esta misma compañía ha alertado ya de los peligros reales que existen para iniciar ataques DDoS en diferentes celebraciones, como el mundial de fútbol de la FIFA, las elecciones de mitad de mandato en Estados Unidos e incluso la adopción de la IA y la nube.