Los servidores Linux SSH mal protegidos están siendo atacados por delincuentes para instalar escáneres de puertos y herramientas de ataque de diccionario con el objetivo de apuntar a otros servidores vulnerables y cooptarlos en una red para llevar a cabo minería de criptomonedas y denegación de servicio distribuida (DDoS). ataques.
«Los actores de amenazas también pueden optar por instalar sólo escáneres y vender la IP violada y las credenciales de la cuenta en la web oscura», dijo el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) dicho en un informe el martes.
En estos ataques, los adversarios intentan adivinar las credenciales SSH de un servidor revisando una lista de combinaciones de nombres de usuario y contraseñas comúnmente utilizadas, una técnica llamada ataque de diccionario.
Si el intento de fuerza bruta tiene éxito, el actor de la amenaza implementa otro malware, incluidos escáneres, para buscar otros sistemas susceptibles en Internet.
Específicamente, el escáner está diseñado para buscar sistemas donde el puerto 22, que está asociado con el servicio SSH, está activo y luego repite el proceso de organizar un ataque de diccionario para instalar malware, propagando efectivamente la infección.
Otro aspecto notable del ataque es la ejecución de comandos como «grep -c ^procesador /proc/cpuinfo» para determinar el número de núcleos de CPU.
«Se cree que estas herramientas fueron creadas por el antiguo equipo de PRG, y cada actor de amenazas las modifica ligeramente antes de usarlas en ataques», dijo ASEC, agregando que hay evidencia del uso de dicho software malicioso. ya en 2021.
Para mitigar los riesgos asociados con estos ataques, se recomienda que los usuarios confíen en contraseñas que sean difíciles de adivinar, las roten periódicamente y mantengan sus sistemas actualizados.
Los hallazgos se producen cuando Kaspersky reveló que una nueva amenaza multiplataforma llamada NKAbuse está aprovechando un protocolo de conectividad de red descentralizado de igual a igual conocido como NKN (abreviatura de New Kind of Network) como canal de comunicación para ataques DDoS.