Descubierto un ataque que aprovecha vulnerabilidades de Linux para distribuir malware

Recomendados:  Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar Transacciones electrónicas europeas: cumpliendo con eIDAS Webinar

Los investigadores de la firma han descubierto que, en esta campaña, los ciberdelincuentes están utilizando una nueva variante llamada "FreakOut", capaz de escanear los puertos de conexión, recopilar información, rastrear redes, lanzar ataques DDoS y flooding. Si se explota con éxito, cada dispositivo infectado puede utilizarse como plataforma para lanzar otros ciberataques, utilizar los recursos del sistema minar criptomonedas, propagar virus lateralmente a través de la red de una empresa o lanzar ataques contra objetivos externos haciéndose pasar por una empresa afectada.

Según explican, los ataques están siendo dirigidos a los dispositivos Linux que ejecutan uno de los siguientes frameworks: TerraMaster TOS (Sistema Operativo TerraMaster), un conocido vendedor de dispositivos de almacenamiento de datos; Zend Framework, una popular colección de paquetes de biblioteca, usada para construir aplicaciones web, y Liferay Portal, el portal de gestión de contenidos de código abierto de Liferay, con funcionalidades para el desarrollo páginas web.

Hasta el momento, los investigadores de la compañía han podido rastrear 185 sistemas infectados, y han detectado más de 380 intentos de ataque adicionales. Por países, Estados Unidos ha sufrido el 27% del total de los intentos de ataque, por delante Italia (6,61%) y Gran Bretaña (5,46%), mientras que España (3,45%) ocupa la octava posición. Por sectores, las empresas gubernamentales y financieras son las más afectadas.

La identidad del ciberdelicuente que está detrás del ataque no está confirmada, aunque sus investigadores tienen indicios de que podría tratarse del hacker conocido como “Fl0urite” o “Freak”, que cuenta con una larga trayectoria.

Finalmente, de acuerdo con los datos del especialista en ciberseguridad, la cadena de infección se produce de la siguiente manera:

-- El atacante comienza instalando malware a través de la explotación de tres vulnerabilidades: CVE-2020-28188, CVE-2021-3007 y CVE-2020-7961.

-- Luego, carga y ejecuta un script Python en los dispositivos infectados.

-- Después instala XMRig, un conocido cryptojacker utilizado para minar ilegalmente la criptomoneda Monero.

-- A partir de ahí, comienza a propagar de forma lateral el virus en la red mediante la explotación de las vulnerabilidades mencionadas.

La compañía insta a parchear lo antes posible los tres frameworks afectados y recomienda que se implementen tanto herramientas de seguridad para la red, como IPS, y soluciones de protección endpoint con el objetivo de prevenir este tipo de ataques y sus consecuencias.