Los investigadores de seguridad descubrieron una nueva amenaza que pone en peligro los servidores Linux. Llamado DreamBus, la botnet es una nueva variante de un malware conocido anteriormente como SystemdMiner. Cabe señalar que DreamBus está más evolucionado en comparación con SystemdMiner.
Los investigadores de Zscaler advierten que la botnet DreamBus está dirigida a aplicaciones de nivel empresarial que se ejecutan en sistemas Linux. Algunas aplicaciones que están en riesgo incluyen PostgreSQL, Redis, Hadoop HILO, Apache Spark, Cónsul de HashiCorp, SaltStack, y el servicio SSH.
Los escenarios de ataque incluyen ataques de fuerza bruta contra nombres de usuario de administrador predeterminados, extremos de API expuestos, y exploits para vulnerabilidades más antiguas. “DreamBus parece estar ubicado en Rusia o Europa del Este según el momento de implementación de los nuevos comandos,"Advierten los investigadores.
Especificaciones de la red de bots DreamBus
Zscaler dice que la botnet muestra un comportamiento similar a un gusano, gracias a lo cual se está difundiendo con mucho éxito en Internet. También es capaz de distribución lateral a través de una red interna a través de varios otros métodos, como la explotación de contraseñas débiles., no autenticado, fallas de ejecución remota de código en aplicaciones como SSH y herramientas de administración de TI, aplicaciones basadas en la nube, y bases de datos.
¿Por qué los operadores de botnet DreamBus apuntan a este tipo de aplicaciones??
“Estas aplicaciones en particular están dirigidas porque a menudo se ejecutan en sistemas que tienen un hardware subyacente poderoso con cantidades significativas de memoria y CPU potentes, todo lo cual permite a los actores de amenazas maximizar su capacidad de monetizar estos recursos mediante la minería de criptomonedas," el informe explica.
¿Cuál es el propósito malicioso de la botnet BreamBus?? En esencia, la botnet es un minero de criptomonedas Monero basado en XMRig. Sin embargo, los investigadores advierten que la botnet puede emplearse en otros modos de ataque, incluidos ransomware y robo de datos empresariales.
Una descripción general de las capacidades y características del malware incluye:
- Una botnet modular basada en Linux similar a un gusano que ha existido al menos desde principios 2019;
- La capacidad de propagarse a sistemas que no están expuestos directamente a Internet mediante el escaneo de RFC privadas 1918 rangos de subred para sistemas vulnerables;
- La botnet utiliza una combinación de confianza implícita, exploits específicos de la aplicación, y contraseñas débiles para realizar sus ataques.
En 2018, investigadores de seguridad descubrieron otro minero ruso basado en el software XMRig. Llamado WaterMiner, el malware conectado a un grupo predefinido al tener instrucciones específicas en su archivo de configuración.
Una piscina de minería es un nodo centralizado que lleva el bloque A Monero blockchain y lo distribuye a los pares conectados para el procesamiento. Cuando el grupo devuelve y verifica una cantidad determinada de recursos compartidos, una recompensa en forma de criptomoneda Monero está conectada a la dirección de billetera designada. En el caso de la instancia maliciosa, esta es la dirección operada por los operadores de la botnet.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: