Como ya hemos
indicado en más de una ocasión, se trata de un problema que no solo está
afectando a los usuarios particulares, también a importantes servicios.
Expertos en seguridad han detectado un malware en algunos servidores con el
servicio Jenkins instalado que tenía como finalidad minar criptomonedas. Para
ser más exactos, Monero. Los ciberdelincuentes habrían conseguido con esta
amenaza una cantidad próxima a los 3 millones de dólares.
Para todo aquel que
no conozca el servicio Jenkins, es bastante popular entre los desarrolladores.
Aunque permite la realización de pruebas de una aplicación desarrollada, no
solo se limita a eso. Se trata de una aplicación open-source que está
programada en Java y que sirve como contenedor para servlets, como, por
ejemplo, Apache Tomcat. Pero su funcionalidad no termina aquí. Soporta control
de versiones, ejecutar shell scripts, programas batch de Windows.
Ahora, los
ciberdelincuentes también le han asignado una nueva utilidad. En este caso,
hablamos del minado de criptomonedas.
Check Point ha sido
la firma de seguridad encargada de desvelar el problema existente en la mayoría
de servidores que cuentan con este software y accesibles a través de Internet.
Este último es un dato bastante clarificador. Casi con total seguridad, estemos
hablando de un problema de seguridad en la configuración del servidor.
Desde la compañía
especializada en materia de seguridad han querido realizar algunas
puntualizaciones. En primer lugar, solo equipos con sistema operativo Windows
se están viendo afectados. En ellos, se está realizando la descarga de un
ejecutable. Este posee el nombre minerxmr.exe. Se trata de la aplicación
descargada que se encargará de realizar el minado.
Más información asociada con el minado de
Monero en servidores Jenkins
El ejecutable desde
una dirección IP que está ubicada en China. Indagando un poco más, se observa
que un servidor utilizado pertenece a la red del Gobierno de Huaian. Es decir,
resulta bastante probable que los ciberdelincuentes se estén valiendo de
servidores comprometidos para distribuir la amenaza.
¿Cómo llegan a los
equipos con la aplicación Jenkins? Antes lanzábamos la duda de si el malware
llegaba utilizando una configuración inadecuada del servidor o un fallo en el
software. Gracias a Check Point podemos salir de dudas. Los ciberdelincuentes
se están valiendo del fallo catalogado como CVE-2017-1000353 para que el
ejecutable llegue al equipo.
El software ha
permanecido activo durante varios meses, posibilitando que los
ciberdelincuentes logren un botín interesante. La cantidad está próxima a los 3
millones de dólares, aunque es probable que en los próximos días esta cantidad
aumente. Los servidores afectados se cuentan por miles, pero no se posee una
visión exacta. Algunos creen que la cifra podría ser superior a 25.000.
Los servidores web en el punto de mira
Un recurso accesible
desde Internet y que muchas veces no está protegido de forma correcta. Cada vez
es más frecuente que los ciberdelincuentes recurran a estos equipos para minar
criptomonedas. Será algo a lo que aún tendremos que acostumbrarnos, o al menos
hasta que la fiebre de las criptomonedas cese. La mayoría de las situaciones
que posibilitan la instalación del software de minado se deben a una mala
configuración de la seguridad, y no vulnerabilidades.
Fuente: Bleeping
Computer
