La investigación llevada a cabo por ESET, y que incluyó el despliegue de honeypots o cibertrampas personalizadas para la clasificación de muestras y el análisis de varias familias de malware, proporcionó una visión del estado actual de las puertas traseras o backdoors OpenSSH
ESET, empresa especializada en ciberseguridad y fabricante de software de seguridad de la Unión Europea, ha descubierto veintiuna familias, doce de ellas desconocidas hasta la fecha, de malware basado en OpenSSH que afectan a Linux. Las potentes herramientas maliciosas descubiertas por ESET son utilizadas ampliamente por cibercriminales que usan amenazas persistentes avanzadas (APT) que podrían tomar el control completo de los servidores Linux.
OpenSSH es la herramienta más utilizada por los administradores de sistemas Linux para gestionar servidores de Internet. Además, el hecho de que el 37% de los servidores expuestos de forma pública en Internet utilice el sistema operativo Linux, convierte a OpenSSH en un vector de ataque habitual cuando lo que se persigue es controlar de manera remota esos servidores.
La investigación llevada a cabo por ESET, y que incluyó el despliegue de honeypots o cibertrampas personalizadas para la clasificación de muestras y el análisis de varias familias de malware, proporcionó una visión del estado actual de las puertas traseras o backdoors OpenSSH. Además, se descubrieron algunos mecanismos interesantes utilizados por los delincuentes. Por ejemplo, una de las familias de malware analizadas cuenta con diferentes modos para comunicarse con el servidor de mando y control (C&C), ya sea mediante la implementación de HTTP, o directamente en los TCP y DNS. Otras familias detectadas de malware son capaces de recibir comandos a través de las contraseñas de SSH o de incluir funcionalidades de minado de criptomonedas.
Según Marc-Étienne Léveillé, analista sénior de malware en ESET y responsable de esta investigación, “a veces todavía escucho la vieja cantinela de que Linux es más seguro que cualquier otro sistema operativo e, incluso, que Linux es inmune al malware. Pero las amenazas a las que se enfrenta este sistema operativo no son ninguna broma y, por ello, en ESET, dedicamos muchos recursos para mejorar la seguridad de estos sistemas”.
En 2013 ESET descubrió una compleja botnet o red de ordenadores zombis formada por 25.000 ordenadores con sistema Linux en la denominada operación Windigo. El componente clave de Windigo era una backdoor basado en OpenSSH llamado Ebury que comprobaba si otras puertas traseras estaban activos en el sistema antes de desplegarse. Debido a que, en aquel momento, las backdoors de este tipo eran prácticamente desconocidos, ESET empezó a investigar sobre ellos y el resultado se ha mostrado ahora.
Con el objetivo de proteger los sistemas y salvaguardar los datos, ESET recomienda a todas las organizaciones:
-que mantengan sus sistemas actualizados.
-que cuenten con autenticación basada en claves para SSH.
-que deshabiliten los accesos remotos.
-que utilicen una solución de autenticación multifactor para SSH.
-que descarguen ESET File Security como herramienta de seguridad.
“Esperemos que este tipo de descubrimientos mejoren las labores de prevención, detección y remediación en los futuros ataques basados en OpenSSH a servidores Linux. Los servidores comprometidos son una pesadilla, pero trabajando de forma conjunta los administradores de sistemas y los analistas de malware podremos ayudarnos mutuamente en la lucha contra el malware orientado a servidores”, concluye Léveillé.
Graduado en Administración y Dirección de empresas, especializado en Marketing, Comunicación, Ciberderecho y Gestión de Riesgos para Ciberseguros. Director de Marketing en CyberSecurity News, Organizador de CISO Day 2019 y Administrador del grupo de LinkedIn «Eventos de Ciberseguridad España»


Author
Vicente Ramírez
Graduado en Administración y Dirección de empresas, especializado en Marketing, Comunicación, Ciberderecho y Gestión de Riesgos para Ciberseguros. Director de Marketing en CyberSecurity News, Organizador de CISO Day 2019 y Administrador del grupo de LinkedIn "Eventos de Ciberseguridad España"
Mantente informado de las noticias más relevantes en nuestro canal de Telegram
- AnteriorGoogle entra en la lista de las empresas que han sufrido fugas de datos masivas
- SiguienteLas botnets IoT y los ataques a las cadenas de suministro, principales amenazas para 2019
Te podría interesar

Pagos con el móvil: ¿Qué medidas de seguridad tener?
Vicente Ramírez - 26 junio, 2018La Oficina de Seguridad del Internauta nos explica todo lo que el usuario necesita saber para poder pagar con el…

«Es cuestión de tiempo que las empresas se den cuenta del cambio que tienen que hacer para retener el talento en ciberseguridad»
Vicente Ramírez - 10 septiembre, 2019Hablamos con Andrés Vinay, joven estudiante de un máster en ciberseguridad quien nos da su visión acerca del sector y…

¿Cuánto les cuesta a las organizaciones un ataque cibernético?
Samuel Rodríguez - 24 octubre, 2018La seguridad debe ser un requisito de todas las empresas para protegerse de los ataques cibernéticos. Cada día de los ataques…
RECIBE NUESTRA NEWSLETTER
FOLLOW US AND GET LATEST NEWS
ESCUCHA NUESTRO PODCAST
Revista
