Los investigadores de ciberseguridad han descubierto una nueva variante del Gafgyt<\/strong> botnet que apunta a m\u00e1quinas con contrase\u00f1as SSH d\u00e9biles para, en \u00faltima instancia, minar criptomonedas en instancias comprometidas utilizando su potencia computacional de GPU.<\/p>\n Esto indica que “la botnet de IoT est\u00e1 apuntando a servidores m\u00e1s robustos que se ejecutan en entornos nativos de la nube”, dijo el investigador de Aqua Security, Assaf Morag. dicho<\/a> en un an\u00e1lisis del mi\u00e9rcoles.<\/p>\n Gafgyt (tambi\u00e9n conocido como BASHLITE, Lizkebab y Torlus), conocido por estar activo en estado salvaje desde 2014, tiene antecedentes de explotando<\/a> credenciales d\u00e9biles o predeterminadas para obtener el control de dispositivos como enrutadores, c\u00e1maras y grabadoras de video digitales (DVR). Tambi\u00e9n es capaz de aprovechar fallas de seguridad conocidas en dispositivos Dasan, Huawei, Realtek, SonicWall y Zyxel.<\/p>\n Los dispositivos infectados son acorralados en una red de bots capaz de lanzar ataques de denegaci\u00f3n de servicio distribuidos (DDoS) contra objetivos de inter\u00e9s. evidencia<\/a> para sugerir que Gafgyt y Necro son operados por un grupo de amenazas llamado Keksec, que tambi\u00e9n se rastrea como Kek Security y FreakOut.<\/p>\n Las botnets de IoT como Gafgyt son constantemente<\/a> evolucionando<\/a> para agregar nuevas funciones, con variantes<\/a> detectado en 2021 usando la red TOR para ocultar la actividad maliciosa, as\u00ed como para tomar prestados algunos m\u00f3dulos del c\u00f3digo fuente filtrado de Mirai. Vale la pena se\u00f1alar que el c\u00f3digo fuente de Gafgyt fue filtrado en l\u00ednea<\/a> a principios de 2015, impulsando a\u00fan m\u00e1s la aparici\u00f3n de nuevas versiones y adaptaciones.<\/p>\n Las \u00faltimas cadenas de ataque implican la fuerza bruta de servidores SSH con contrase\u00f1as d\u00e9biles para implementar cargas \u00fatiles de la siguiente etapa para facilitar un ataque de miner\u00eda de criptomonedas utilizando “systemd-net”, pero no antes de terminar el malware competidor que ya se est\u00e1 ejecutando en el host comprometido.<\/p>\n Tambi\u00e9n ejecuta un m\u00f3dulo anti-virus, un esc\u00e1ner SSH basado en Go llamado ld-musl-x86, que se encarga de escanear Internet en busca de servidores poco seguros y propagar el malware a otros sistemas, lo que ampl\u00eda de forma efectiva la escala de la botnet. Esto incluye SSH, Telnet y credenciales relacionadas con servidores de juegos y entornos de nube como AWS, Azure y Hadoop.<\/p>\n “El criptominero en uso es XMRig, un minero de criptomonedas Monero”, dijo Morag. “Sin embargo, en este caso, el actor de la amenaza est\u00e1 buscando ejecutar un criptominero utilizando los indicadores –opencl y –cuda, que aprovechan la potencia computacional de la GPU y la GPU de Nvidia”.<\/p>\n “Esto, combinado con el hecho de que el principal impacto del actor de la amenaza es la miner\u00eda de criptomonedas en lugar de los ataques DDoS, respalda nuestra afirmaci\u00f3n de que esta variante se diferencia de las anteriores. Est\u00e1 destinada a atacar entornos nativos de la nube con fuertes capacidades de CPU y GPU”.<\/p>\n Los datos recopilados al consultar Shodan muestran que hay m\u00e1s de 30 millones de servidores SSH de acceso p\u00fablico, por lo que es esencial que los usuarios tomen medidas para proteger las instancias contra ataques de fuerza bruta y posible explotaci\u00f3n.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/La-nueva-variante-de-la-botnet-Gafgyt-ataca-las-contrasenas.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n