Infectan 50.000 servidores MS-SQL y PHPMyAdmin.

0
MuySeguridad

Investigadores de seguridad cibernética de Guardicore Labs han advertido sobre una campaña generalizada de cryptojacking que ataca Windows servidores MS-SQL y PHPMyAdmin alrededor del mundo.

Apodado Nansh0u, la campaña maliciosa está siendo llevada a cabo por un grupo de piratería chino al estilo de APT. Ya ha infectado casi 50,000 servidores, instalando un sofisticado rootkit en modo kernel en sistemas comprometidos para evitar que se elimine el malware.

La campaña se remonta al 26 de febrero, pero se detectó por primera vez a principios de abril y se han localizado al menos 20 versiones diferentes de carga útil alojadas en varios proveedores de alojamiento. El malware explota una vulnerabilidad de escalada de privilegios conocida (CVE-2014-4113) para obtener privilegios del sistema en servidores comprometidos.

El ataque se basa en la técnica de fuerza bruta, buscando y encontrando servidores MS-SQL y PHPMyAdmin disponibles públicamente y comprometidos a través de un simple escáner de puertos.

Después de una autenticación de inicio de sesión exitosa con privilegios administrativos, los atacantes ejecutan un script MS-SQL en el sistema comprometido para descargar la carga útil malintencionada desde un servidor de archivos remoto y ejecutarlo con privilegios del sistema.

La carga útil instala un malware de minería de criptomonedas y también protege su proceso de finalización utilizando un rootkit en modo kernel firmado digitalmente por Verisign, como comentan los investigadores: "Descubrimos una firma digital emitida por la autoridad de certificación Verisign. El certificado, que está vencido, lleva el nombre de una empresa china falsa: Hanhzhou Hootian Network Technology».

La recomendación contra este tipo de ataque es la habitual: actualizar el equipo para mitigar las vulnerabilidades conocidas y usar contraseñas seguras y sólidas, ya que el ataque se basa en una combinación de nombre de usuario y contraseña.