• +(57 1) 745-7312
  • contacto@openitnet.com

NOTICIAS

Xbash, un gusano multiplataforma enfocado a servidores

Este nuevo gusano para Windows y Linux escrito en Python combina ransomware, minado, botnet y capacidad de auto-propagación

Ha sido detectado un nuevo tipo de malware del que se sospecha que podría estar detrás Iron Group, un grupo cibercriminal chino ya conocido. Esta nueva amenaza destaca por contar con un amplio abanico de funciones, entre las que se encuentran ransomware (borra datos de varios tipos de bases de datos), botnet (comunicándose a servidores C2), ataques por fuerza bruta a múltiples servicios (MySQL, VNC, etc.), explotación de servicios para propagación (Hadoop, Redis y ActiveMQ) y minado. Además del alto número de opciones (que podrían ir incrementándose con el tiempo), este malware destaca por ejecutarse tanto en Windows como en Linux.

El principal riesgo que trae este malware es su capacidad como ransomware, afectando a las bases de datos MySQL, PostgreSQL y MongoDB, de las cuales borra todos sus datos y crea una nueva tabla con la información para realizar el pago. A pesar de que la cuantía por recuperar la información es relativamente pequeña (0,02 bitcoin, 125$ en estos momentos), no debería hacerse el pago bajo ningún concepto, porque el atacante no ha añadido un método de recuperación. El malware no sólo intenta acceder a las bases de datos conectándose a ellas, sino que además cuenta con métodos alternativos como utilizando PhpMyAdmin.


El atacante ya ha recibido 6000$ en Bitcoins. Fuente: Palo Alto.


Otra de las características incluidas son sus funcionalidades como botnet para analizar máquinas remotas. Para su funcionamiento, hace uso de 3 tipos de servidores C2: uno del que obtiene IPs y dominios (públicos) a analizar, otro del que obtiene contraseñas a probar, y finalmente otro al que envía los resultados. El malware cuenta con un amplio número de servicios a examinar por si estuviesen disponibles, y en caso de tener éxito (y si el servicio está implementado), intenta romper la contraseña haciendo uso de los diccionarios. Los servidores C2 se encuentran en el código, y todas las comunicaciones se realizan usando HTTP.

Para su propagación, se aprovecha de vulnerabilidades ya conocidas en Hadoop (sin CVE, de 2016), Redis (sin CVE también, 2015) y ActiveMQ (CVE-2016-3088), lo que urge aún más actualizar dichos servicios si no lo estuviesen ya. Para infectar las máquinas vulnerables, el gusano se descarga así mismo desde uno de los servidores C2 disponibles, además del Coinminer empleado por el grupo criminal. Incluso para la instalación del malware cuenta con funciones para detectar si la máquina es Windows o Linux, para así realizar la instalación de la forma correcta.

Python, el lenguaje de programación empleado, destaca por permitir un desarrollo rápido y fácil, al mismo tiempo que facilita incorporar mejoras al software. Este lenguaje de script es multiplataforma, ventaja que aprovecha para ampliar el número las plataformas a infectar. Para su instalación, utiliza PyInstaller, un contenedor que incluye todas las dependencias de Python necesarias. Además, ofusca el código para impedir que sea detectado y dificultar su análisis, aunque ya está siendo detectado por varios antivirus.

Tendremos que estar atentos al avance de este malware, que podría variar en los próximos meses para soportar nuevos métodos de ataque y propagación. Mientras tanto, se recomienda utilizar contraseñas seguras en la configuración de los servicios, mantener el software actualizado y realizar backups (sobre todo de bases de datos).
Fuente: Hispasec.com

5. Servidor Web.

2019-03-07 Hits:28

¡Muy bien! Ya tenemos nuestro flamante nuevo sitio web al aire, y todos nuestros clientes nos felicitan por lo lindo y moderno que quedó. Pero ahora viene lo interesante… ¿Como hacemos para mantenerlo actualizado y que nuestros visitantes se mantengan...

Leer Más...

4.    Gestión Documental

2019-01-24 Hits:137

Se escucha la siguiente frase a todo pulmón en la oficina: ¿quién tiene la versión actualizada de la lista de precios?...

Leer Más...

3. Correo Electrónico y Colaboración.

2018-11-21 Hits:185

Pocas cosas más perjudiciales para la imagen de una empresa que sus direcciones de correo electrónico provengan de servidores gratuitos como Hotmail, Yahoo o Gmail. Mucho se ha escrito sobre este tema, ya que, por su bajo costo de adquisición...

Leer Más...

Zero-Day en Google Chrome permite la ejecución remota de código. La vulnerabilidad, del tipo corrupción de memoria… https://t.co/qrb49pf08R

Conocidos gestores de contraseñas son vulnerables. Expertos pusieron a prueba el grado de #protección que tienen lo… https://t.co/L7MoNPpe53

Calendario

« March 2019 »
Mon Tue Wed Thu Fri Sat Sun
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

Somos una empresa de soluciones en consultoría informática, especializada en instalación de aplicaciones corporativas y administración de infraestructura tecnológica, con énfasis en pequeñas y medianas empresas (Pymes).

INFORMACIÓN

Calle 67 # 8-16 Of. 304 Bogotá, Colombia

+(57 1) 745-7312

This email address is being protected from spambots. You need JavaScript enabled to view it.

Tweets

Zero-Day en Google Chrome permite la ejecución remota de código. La vulnerabilidad, del tipo corrupción de memoria… https://t.co/qrb49pf08R

Conocidos gestores de contraseñas son vulnerables. Expertos pusieron a prueba el grado de #protección que tienen lo… https://t.co/L7MoNPpe53

Search