Una nueva campaña,
denominada Zealot, ataca servidores Windows y Linux mediante un surtido de exploits
que hacen posible la minería de la criptomoneda Monero.
La campaña sido
detectada por F5 Networks, que la ha denominado Zealot, debido a zealot.zip,
uno de los archivos malignos unidos a los servidores objeto de los ataques.
Según se indica, el ataque ha sido posible mediante el mismo exploit utilizado
en el hack de Equifax.
Los investigadores
Maxim Zavodchik y Liron Segal, de F5 Networks, los atacantes escanean Internet
en busca de servidores vulnerables; es decir, no parcheados, utilizando dos
exploits, CVE-2017-5638 y CVE-2017-9822, para Apache Struts y DotNetNuke
ASP.NET CMS, respectivamente.
La vulnerabilidad de
Apache Struts es la misma que otros atacantes utilizaron en meses pasados para
vulnerar los sistemas de gigante financiero estadounidense Equifax.
Paralelamente, otro grupo de delincuentes utilizó la misma vulnerabilidad en
abril para atacar servidores Struts, donde instalaron ransomware.
Al encontrar un
servidor Windows vulnerable, los atacantes instalan EternalBlue y
EternalSynergy, dos exploits de la NSA filtrados a Internet por el grupo
autodenominado Shadow Brokers. En algunos casos, también utilizaron PowerShell
de Windows para descargar e instalar una aplicación de malware utilizada para
la minería de Monero.
Los investigadores de
F5 recalcan que los atacantes pudieron haber utilizado la última etapa del
proceso; es decir, la instalación de malware, para instalar a su antojo virus y
troyanos, aparte de ransomware. Cabe señalar que los atacantes sólo descargaron
US$8500 en algunos monederos dispersos, lo que lleva a preguntarse si acaso el
objetivo era más bien probar un concepto de ataque, en el lugar de procurar un
botín económico. Esta perspectiva se ve refrendada por los expertos Zavodchik y
Segal, quienes comentaron: “el nivel de sofisticación que hemos visto en la
campaña Zealot nos lleva a creer que esta fue desarrollada y ejecutada por
actores con conocimientos muy superiores a los de quienes normalmente operan
botnets”. Con ellos se referían a la capacidad de instalar y activar una cadena
de infección de varios niveles, para luego instalar malware avanzado y
especialmente adaptado, y finalmente la capacidad de desplazarse lateralmente
entre distintas capas de una red
Fuente: Diarioti.com