Se ha
detectado un nuevo malware de tipo ransomware utilizado para infectar
servidores Linux a través IPMI
Este nuevo
ransomware, que recibe el nombre de ‘JungleSec‘, fue detectado en Noviembre y
esta diseñado para infectar servidores Linux con IPMI (Intelligent Platform
Management Interface) no securizado.
IPMI es un
conjunto de especificaciones de interfaces que proporcionan capacidades de
administración y monitorización en un ordenador independientemente de la CPU,
firmware y sistema operativo. Esta incluido en las placa base de los
servidores, aunque también puede instalarse como una tarjeta adicional si no la
incluye la placa base.
Una
interfaz IPMI no configurada, puede dar acceso remoto al sistema a los
atacantes, lo que les daría control total sobre el servidor.
Investigadores
de BleepingComputer que detectaron este malware, afirman que descubrieron que
los atacantes habían usado una interfaz IPMI para acceder a los servidores y
posteriormente instalar el malware. En algunos casos, la interfaz IPMI estaba
configurada con la contraseña por defecto. En otros casos, las víctimas afirman
que el usuario ‘Admin’ de la interfaz estaba desactivado, por lo que se
sospecha que los atacantes pudiesen acceder usando alguna vulnerabilidad en el
sistema IPMI.
Los
atacantes, una vez accedían al sistema a través de la interfaz IPMI, descargaban
y compilaban ccrypt, que finalmente usaban para cifrar todos los ficheros del
servidor. Una vez cifrados los archivos, los atacantes dejaban un fichero
llamado ‘ENCRYPTED.md’ con las instrucciones para realizar el pago del rescate.
IoCs
Nombres de Ficheros:
ENCRYPTED.md
key.txt
Direcciones de correo
electrónico:
junglesec@anonymousspeech.com
Más información:
- https://securityaffairs.co/wordpress/79219/malware/junglesec-ransomware-ipmi.html
- https://www.bleepingcomputer.com/news/security/junglesec-ransomware-infects-victims-through-ipmi-remote-consoles/
Fuente: Hispasec