Un criptominero Dero escondido en entornos contenerizados

Casi accidentalmente, mientras los profesionales de Kaspersky Security Services estaban realizando un proyecto de evaluación de compromisos, descubrieron una campaña de ciberataques que podría afectar a cualquier organización con entornos contenerizados que utilicen APIs de Docker sin los debidos controles de seguridad. En todo el mundo, hay una media de 485 puertos predeterminados de la API de Docker publicados al mes, 162 en Europa.

Son potenciales puntos de entrada para una compaña que inyecta en esos entornos “cloud”, un minero de criptomonedas Dero, y “ngix”, un software de propagación gracias al que pueden ampliar la campaña de ataques a otras redes de contenedores que sean vulnerables. Para ello, una vez han identificado una API de Docker que esté expuesta, o bien comprometen los contenedores existentes o los crean basándose en una imagen estándar legítima de Ubuntu.

El sistema “permite a los atacantes operar sin servidores tradicionales de Comando y Control (C2); en su lugar, cada contenedor infectado escanea internet de forma independiente y puede propagar el minero a nuevos objetivos”. Los nombres de los dos malware se integran en el archivo binario, “un archivo ejecutable inflexible compuesto por instrucciones y datos para el procesador, no para personas”.

Amged Wageh, experto en respuesta ante incidentes y evaluación de compromisos de Kaspersky Security Services, explica que “los contenedores son fundamentales para el desarrollo, despliegue y escalabilidad del software. Su uso generalizado en entornos nativos de la nube, DevOps y arquitecturas de microservicios los convierte en un objetivo atractivo para los ciberatacantes. Esta creciente dependencia exige que las organizaciones adopten un enfoque de seguridad integral, combinando soluciones robustas con cacería proactiva de amenazas y evaluaciones periódicas de compromisos”.