DreamBus, una peligrosa botnet que ataca a sistemas corporativos basados en Linux

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar

Investigadores han detectado que servidores basados en la plataforma Linux han sido objeto de un ciberataque de grandes dimensiones que afecta de lleno a entornos corporativos. Los ciberatacantes se aprovechan de las posibles vulnerabilidades del sistema para acceder a dichos servidores y utilizarlos como plataforma mediante un botnet para el minado masivo de criptomonedas. Este nuevo botnet, procedente de Rusia, ha sido bautizado como DreamBus y los expertos advierten de su peligrosidad, ya que podría derivar en técnicas de ransomware.

Detectado a comienzos de 2021, DreamBus es una evolución de SystemdMiner, una botnet que vio la luz en 2019. Este nuevo bot tiene como objetivo aplicaciones corporativas bajo Linux y en concreto, se han detectado ciberataques sobre PostgreSQL, YARN, Redis, Apache Spark, Hadoop, Hashi Corp, SaltStark y el servicio SSH.

Los ciberatacantes emplean tres maneras de acceder al sistema aprovechando sus vulnerabilidades: mediante fuerza bruta a los datos de acceso de los administradores del sistema, a través de comandos maliciosos en las API expuestas de los endpoints, y aprovechando antiguas vulnerabilidades que todavía no han sido parcheadas convenientemente. Una vez que acceden al servidor Linux, los ciberatacantes descargan e instalan una aplicación open source. En este punto, buscan lucrarse mediante el minado de criptomonedas o cryptojacking.

Sin embargo, en una siguiente fase, DreamBus hace que los servidores pasen a ser botnet activos de una nueva operación en la que se lanzan ataques mediante la técnica de la fuerza bruta a nuevos objetivos. El malware tiene así una alta probabilidad de propagarse y proseguir accediendo a servidores para el minado mediante procesos automatizados empleando botnets.

Este malware es difícil de detectar, ya que cuenta con importantes medidas de auto protección que lo hacen muy esquivo. En este sentido, cada servidor infectado se conecta con el central de Comando y Control (C&C) y lo hace mediante el protocolo DNS over HTTPS (DoH). Además, los ciberatacantes alojan el servidor C&C en la red Tor, a través de un dominio .ONION, para evitar que sea derribado.

En lo que respecta al origen del malware, todas las sospechas recaen sobre Rusia, ya que todas las actualizaciones y nuevos comandos se llevan a cabo a las 9:00 horas en horario de Moscú (MSK). Los expertos advierten, por otra parte, que DreamBus podría emplearse más adelante para campañas de ransomware, mucho más devastadoras desde el punto de vista corporativo.

Para evitar un malware de esas características, Cytomic aconseja a las organizaciones adoptar medidas de precaución como una actualización constante de sus sistemas y aplicaciones para evitar que aprovechen sus vulnerabilidades.  Las herramientas como Cytomic Patch proporcionan asesoramiento para gestionar todos los parches y actualizaciones disponibles. Más allá de las vulnerabilidades en sí mismas, es imprescindible contar con soluciones de ciberseguridad avanzadas con capacidades EDR eficaces, como Cytomic EDPR.