Servidores SSH mal protegidos víctimas del botnet Chalubo

2 noviembre, 2018
17 Compartido 2,002 Visualizaciones

SophosLabs ha detectado una nueva botnet DDoS que se centra en servidores SSH mal protegidos. El objetivo del malware es comprometer el gran número de servidores SSH Linux de administración remota, que en estos días incluye un número creciente de dispositivos de Internet de las Cosas (IoT).

SophosLabs ha detectado una nueva botnet DDoS que se centra en servidores SSH mal protegidos. Llamada Chalubo (o ChaCha-Lua-bot) en referencia al uso del cifrador de flujo ChaCha, el malware comenzó a circular en agosto antes de que se viera un pico en su actividad a comienzos de septiembre.

El objetivo del malware es comprometer el gran número de servidores SSH Linux de administración remota, que en estos días incluye un número creciente de dispositivos de Internet de las Cosas (IoT).

Lo hace escaneando gran cantidad de direcciones IP, buscando dispositivos que ejecuten SSH en el puerto 22, intentando obtener las credenciales por fuerza bruta utilizando las habituales por defecto o probando contraseñas débiles.En el caso de Chalubo, el objetivo último es descargar y ejecutar malware diseñado para ejecutar ataques DDoS usando flujos DNS, UDP y SYN.

En el ejemplo analizado por SophosLabs, la temática IoT parece clara, como Timothy Easton de SophosLabs señala: ”Como algunos de sus predecesores, Chalubo incorpora código de las familias de malware Xor.DDoS y Mirai”.

¿De dónde viene?

SophosLabs detectó que el servidor de comando y control (C&C) del atacante extraía un segundo malware, Linux/DDoS-BD (Linux/BillGates), que ha tenido conexión con la botnet china Elknot, que fue vista por primera vez en 2014.

Sin embargo Chalubo tiene una temática aún mayor que es el propio SSH, que se supone que es una manera segura de gestionar remotamente casi todo lo que ejecute Linux.

Desafortunadamente, SSH no está siempre bien asegurado, lo que lo convierte como poco un objetivo atractivo, dado que SSH puede ser usado no solo para autenticarse si no también para la transferencia de ficheros.

¿Qué hacer?

Una manera de detectar Linux/Chalubo-A es buscar tráfico saliente hacía el C&C en el puerto 8852, aunque este no se usa siempre. También es posible detectar su presencia comprobando los logs de accesos fallidos o prestando atención a qué servidores han tenido un uso masivo de ancho de banda.

La prevención es incluso mejor asegurando SSH. Como en todos los ataques de fuerza bruta, Chaluvo florece con credenciales débiles, probando gran cantidad de ejemplos conocidos o posibles combinaciones.

Hay muchas maneras de minimizar un ataque de fuerza bruta SSH pero obviamente escoger una contraseña robusta es el primer paso. Incluso mejor, deja de usar contraseñas y emplea una llave de autenticación SSH, la cual tiene la ventaja de que puede ser usada en diferentes servidores.

Te podría interesar

El sector médico es el próximo gran objetivo de los cibercriminales
Security Breaches
15 compartido1,332 visualizaciones
Security Breaches
15 compartido1,332 visualizaciones

El sector médico es el próximo gran objetivo de los cibercriminales

Vicente Ramírez - 12 marzo, 2019

La seguridad sigue siendo la asignatura pendiente del sector médico, un entorno donde las consecuencias para los pacientes pueden ser…

Comienza el V Foro virtual de Empleo y Talento en Ciberseguridad
Actualidad
26 compartido904 visualizaciones
Actualidad
26 compartido904 visualizaciones

Comienza el V Foro virtual de Empleo y Talento en Ciberseguridad

Vicente Ramírez - 28 noviembre, 2018

Un total de 37 empresas y 20 instituciones académicas participan en esta iniciativa ofreciendo vacantes de empleo y formación en…

Los ciberdelincuentes más buscados por el FBI
Actualidad
262 visualizaciones
Actualidad
262 visualizaciones

Los ciberdelincuentes más buscados por el FBI

Redacción - 20 junio, 2017

¿Quiénes son los ciberdelincuentes más buscados por el FBI? ¿De qué se les acusa? Latvia, Rusia, Rumanía, Siria, Vietnam, China, son…

Deje un comentario

Su email no será publicado