España se encuentra entre los países afectados por esta campaña de ciberataques dirigidos contra instituciones gubernamentales y financieras

Investigadores de Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), alertan de una campaña de ciberataques que se está produciendo en estos momentos y que tiene como propósito aprovechar las recientes vulnerabilidades de los sistemas Linux para crear una botnet y difundir malware a los equipos infectados. Los ciberdelincuentes están utilizando una nueva variante llamada «FreakOut», capaz de escanear los puertos de conexión, recopilar información, rastrear redes, lanzar ataques DDoS y flooding. Si se explota con éxito, cada dispositivo infectado puede utilizarse como plataforma para lanzar otros ciberataques, utilizar los recursos del sistema minar criptomonedas, propagar virus lateralmente a través de la red de una empresa o lanzar ataques contra objetivos externos haciéndose pasar por una empresa afectada. 

Los ataques están dirigidos a los dispositivos Linux que ejecutan uno de los siguientes frameworks: 

• TerraMaster TOS (Sistema Operativo TerraMaster), un conocido vendedor de dispositivos de almacenamiento de datos  
• Zend Framework, una popular colección de paquetes de biblioteca, usada para construir aplicaciones web   
• Liferay Portal, un portal empresarial gratuito y de código abierto, con funcionalidades para el desarrollo páginas web

¿Cómo se está produciendo este ataque?

Hasta el momento, los investigadores de la compañía han podido rastrear 185 sistemas infectados, y han detectado más de 380 intentos de ataque adicionales. Por países, Estados Unidos ha sufrido el 27% del total de los intentos de ataque, por delante Italia (6,61%) y Gran Bretaña (5,46%), mientras que España (3,45%) ocupa la octava posición. Por sectores, las empresas gubernamentales y financieras son las más afectadas.

Hasta ahora, Check Point no ha podido confirmar la identidad del ciberdelincuente detrás de este ataque, aunque tienen indicios de que podría tratarse del hacker conocido como “Fl0urite” o “Freak”, que cuenta con una larga trayectoria. Por otra parte, la cadena de infección se produce de la siguiente manera:

1. El atacante comienza instalando malware a través de la explotación de tres vulnerabilidades: CVE-2020-28188, CVE-2021-3007 y CVE-2020-7961. 
2. Luego, carga y ejecuta un script Python en los dispositivos infectados.
3. Tras esto, instala XMRig, un conocido cryptojacker utilizado para minar ilegalmente la criptomoneda Monero.
4. A partir de ahí, comienza a propagar de forma lateral el virus en la red mediante la explotación de las vulnerabilidades mencionadas.

Desde Check Point instan a parchear lo antes posible los tres frameworks afectados, al mismo tiempo que recomiendan implementar tanto herramientas de seguridad para la red, como IPS, y soluciones de protección endpoint con el objetivo de prevenir este tipo de ataques y sus consecuencias.

«En estos momentos estamos presenciando una campaña de ciberataques en vivo dirigida a usuarios de Linux. El ciberdelincuente detrás de esta amenaza cuenta con amplia experiencia a sus espaldas, lo que le convierte en muy peligroso”, señala Adi Ikan, jefe de investigación de ciberseguridad en la red de Check Point. “El hecho de que algunas vulnerabilidades utilizadas para este ataque se hayan descubierto hace poco sirve de ejemplo para destacar la importancia de proteger la red de forma continua con los últimos parches de seguridad y actualizaciones. La capacidad de respuesta y la rapidez son aspectos cruciales cuando se trata de securizar una empresa. Por este motivo, desde Check Point recomendamos encarecidamente a todos los usuarios a que parcheen TerraMaster TOS, Zend Framework y Liferay Portal cuanto antes», añade Ikan.