Los piratas informáticos suelen aprovechar los fallos de seguridad de los ordenadores para llevar a cabo sus ataques. Esto es lo que sucede con la nueva botnet que busca minar criptomonedas tanto en sistemas Windows como Linux. Busca vulnerabilidades para lograr su objetivo. Es Sysrv-hello y fue descubierto por Alibaba Cloud.
Sysrv-hello, una botnet que busca vulnerabilidades en Windows o Linux
La minería oculta de criptomonedas es un problema al que debemos estar muy atentos, ya que puede llevar nuestro ordenador al extremo y afectar no sólo al rendimiento sino también a los componentes del hardware. Es un tipo de amenaza que en los últimos años ha aumentado considerablemente debido al auge de las monedas digitales.
Al fin y al cabo, los piratas informáticos buscan formas de obtener beneficios. Crean nuevas técnicas de ataque, buscan errores que puedan explotar y, en última instancia, infectan las computadoras de las víctimas. Con Sysrv-hello consiguen colar una botnet para minar criptomonedas tanto en Windows como en Linux. En concreto, mina Monero, una de las criptomonedas más populares.
Esta botnet se descubrió por primera vez en febrero, pero ha estado activa desde diciembre de 2020. Fue en marzo cuando experimentó un aumento significativo de su inactividad. Ahora se ha actualizado para poder utilizar un único binario capaz de extraer e introducir malware automáticamente en otros dispositivos.
¿Cómo funciona Sysrv-hola? Básicamente lo que hace es rastrear Internet buscando equipos vulnerables. De esta manera podría infectar esos sistemas e introducir su ejército de botnets y comenzar a minar Monero.
Según los investigadores de seguridad, se basan en vulnerabilidades que encuentran en la ejecución remota de código en PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic y Apache Struts.
Cabe señalar que una vez que ha pirateado con éxito el servidor, este malware puede propagarse por la red mediante ataques de fuerza bruta utilizando claves SSH privadas que recopila de los servidores infectados.
Se han explotado principalmente seis vulnerabilidades, que son las siguientes:
- Mongo Express RCE (CVE-2019-10758)
- XML-RPC (CVE-2017-11610)
- Saltstack RCE (CVE-2020-16846)
- Drupal Ajax RCE (CVE-2018-7600)
- ThinkPHP RCE (sin CVE)
- XXL-JOB Unauth RCE (sin CVE)
¿Cómo protegernos del minado de criptomonedas?
Hemos visto como esta nueva botnet puede infectar sistemas Windows o Linux para realizar sus ataques y minar criptomonedas. Sin embargo, podemos toparnos con amenazas similares que pueden aprovecharse de nuestros equipos para conseguir su objetivo. Evitar ataques de botnets es algo que debemos tener en cuenta.
Sin duda lo más importante para no ser víctima de este problema es contar con equipos actualizados. Hemos visto que en este caso se necesitan sistemas vulnerables y obsoletos. Por eso, el principal consejo es mantener siempre actualizados tus ordenadores. No importa qué sistema operativo estemos usando.
También va a ser importante tener programas de seguridad. Un buen antivirus puede ayudar a prevenir muchas variedades de software malicioso que podrían comprometernos de una forma u otra. Es fundamental aplicar esto sin importar el sistema operativo que estemos usando.
Pero otra cuestión fundamental es también el sentido común. Debemos evitar cometer errores que puedan ser aprovechados por piratas informáticos y poner en riesgo nuestros ordenadores. Por ejemplo, sería un error descargar programas de sitios de terceros sin verificar si son legítimos, descargar archivos adjuntos que podrían ser peligrosos o iniciar sesión en una red insegura.
