Campaña de ciberataques que aprovecha vulnerabilidades de Linux para infectar los equipos y robar información

22 enero, 2021
6 Compartido 1,343 Visualizaciones

España se encuentra entre los países afectados por esta campaña de ciberataques dirigidos contra instituciones gubernamentales y financieras

Investigadores de Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), alertan de una campaña de ciberataques que se está produciendo en estos momentos y que tiene como propósito aprovechar las recientes vulnerabilidades de los sistemas Linux para crear una botnet y difundir malware a los equipos infectados. Los ciberdelincuentes están utilizando una nueva variante llamada «FreakOut», capaz de escanear los puertos de conexión, recopilar información, rastrear redes, lanzar ataques DDoS y flooding. Si se explota con éxito, cada dispositivo infectado puede utilizarse como plataforma para lanzar otros ciberataques, utilizar los recursos del sistema minar criptomonedas, propagar virus lateralmente a través de la red de una empresa o lanzar ataques contra objetivos externos haciéndose pasar por una empresa afectada. 

Los ataques están dirigidos a los dispositivos Linux que ejecutan uno de los siguientes frameworks: 

  • TerraMaster TOS (Sistema Operativo TerraMaster), un conocido vendedor de dispositivos de almacenamiento de datos  
  • Zend Framework, una popular colección de paquetes de biblioteca, usada para construir aplicaciones web   
  • Liferay Portal, un portal empresarial gratuito y de código abierto, con funcionalidades para el desarrollo páginas web

¿Cómo se está produciendo este ataque?

Hasta el momento, los investigadores de la compañía han podido rastrear 185 sistemas infectados, y han detectado más de 380 intentos de ataque adicionales. Por países, Estados Unidos ha sufrido el 27% del total de los intentos de ataque, por delante Italia (6,61%) y Gran Bretaña (5,46%), mientras que España (3,45%) ocupa la octava posición. Por sectores, las empresas gubernamentales y financieras son las más afectadas.

Hasta ahora, Check Point no ha podido confirmar la identidad del ciberdelincuente detrás de este ataque, aunque tienen indicios de que podría tratarse del hacker conocido como “Fl0urite” o “Freak”, que cuenta con una larga trayectoria. Por otra parte, la cadena de infección se produce de la siguiente manera:

  1. El atacante comienza instalando malware a través de la explotación de tres vulnerabilidades: CVE-2020-28188, CVE-2021-3007 y CVE-2020-7961. 
  2. Luego, carga y ejecuta un script Python en los dispositivos infectados.
  3. Tras esto, instala XMRig, un conocido cryptojacker utilizado para minar ilegalmente la criptomoneda Monero.
  4. A partir de ahí, comienza a propagar de forma lateral el virus en la red mediante la explotación de las vulnerabilidades mencionadas.

Desde Check Point instan a parchear lo antes posible los tres frameworks afectados, al mismo tiempo que recomiendan implementar tanto herramientas de seguridad para la red, como IPS, y soluciones de protección endpoint con el objetivo de prevenir este tipo de ataques y sus consecuencias.

«En estos momentos estamos presenciando una campaña de ciberataques en vivo dirigida a usuarios de Linux. El ciberdelincuente detrás de esta amenaza cuenta con amplia experiencia a sus espaldas, lo que le convierte en muy peligroso”, señala Adi Ikan, jefe de investigación de ciberseguridad en la red de Check Point. “El hecho de que algunas vulnerabilidades utilizadas para este ataque se hayan descubierto hace poco sirve de ejemplo para destacar la importancia de proteger la red de forma continua con los últimos parches de seguridad y actualizaciones. La capacidad de respuesta y la rapidez son aspectos cruciales cuando se trata de securizar una empresa. Por este motivo, desde Check Point recomendamos encarecidamente a todos los usuarios a que parcheen TerraMaster TOS, Zend Framework y Liferay Portal cuanto antes», añade Ikan.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La nube y los entornos móviles son los puntos más débiles en las redes de las empresas
Actualidad
27 compartido2,154 visualizaciones
Actualidad
27 compartido2,154 visualizaciones

La nube y los entornos móviles son los puntos más débiles en las redes de las empresas

Vicente Ramírez - 4 marzo, 2019

La tercera entrega del Security Report 2019 señala a los entornos móviles y el cloud como principales objetivos de los…

Lanzan su navegador privado para iOS y sincronización multiplataforma
Actualidad
6 compartido952 visualizaciones
Actualidad
6 compartido952 visualizaciones

Lanzan su navegador privado para iOS y sincronización multiplataforma

Alicia Burrueco - 19 noviembre, 2020

Avast Secure Browser añade soporte para iOS, una nueva sincronización multiplataforma y cifrado de datos completo  Avast lanza la versión iOS…

Panda Security Summit: la cumbre de la ciberseguridad avanzada
Actualidad
15 compartido1,642 visualizaciones
Actualidad
15 compartido1,642 visualizaciones

Panda Security Summit: la cumbre de la ciberseguridad avanzada

Vicente Ramírez - 7 mayo, 2018

El próximo 18 de mayo se celebra en el Teatro Goya Multiespacio de Madrid la primera edición de Panda Security…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.