{"id":782284,"date":"2023-05-31T18:32:37","date_gmt":"2023-05-31T18:32:37","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-ciberdelincuentes-apuntan-a-las-instancias-de-apache-nifi-para-la-mineria-de-criptomonedas\/"},"modified":"2023-05-31T18:32:40","modified_gmt":"2023-05-31T18:32:40","slug":"los-ciberdelincuentes-apuntan-a-las-instancias-de-apache-nifi-para-la-mineria-de-criptomonedas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-ciberdelincuentes-apuntan-a-las-instancias-de-apache-nifi-para-la-mineria-de-criptomonedas\/","title":{"rendered":"Los ciberdelincuentes apuntan a las instancias de Apache NiFi para la miner\u00eda de criptomonedas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">31 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad del servidor \/ Criptomoneda<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un actor de amenazas motivado financieramente est\u00e1 rastreando activamente Internet en busca de desprotegidos. <a rel=\"nofollow noopener\" href=\"https:\/\/nifi.apache.org\/\" target=\"_blank\">Instancias de Apache NiFi<\/a> para instalar de forma encubierta un minero de criptomonedas y facilitar el movimiento lateral.<\/p>\n<p>Los hallazgos provienen del SANS Internet Storm Center (ISC), que detect\u00f3 un aumento en las solicitudes HTTP de &#8220;\/nifi&#8221; el 19 de mayo de 2023.<\/p>\n<p>&#8220;La persistencia se logra a trav\u00e9s de procesadores cronometrados o entradas a cron&#8221;, <a rel=\"nofollow noopener\" href=\"https:\/\/isc.sans.edu\/diary\/Your%20Business%20Data%20and%20Machine%20Learning%20at%20Risk%3A%20Attacks%20Against%20Apache%20NiFi\/29900\" target=\"_blank\">dicho<\/a> Dr. Johannes Ullrich, decano de investigaci\u00f3n del SANS Technology Institute.  &#8220;El script de ataque no se guarda en el sistema. Los scripts de ataque solo se guardan en la memoria&#8221;.<\/p>\n<p>Una configuraci\u00f3n de honeypot permiti\u00f3 al ISC determinar que el punto de apoyo inicial est\u00e1 armado para lanzar un script de shell que elimina el archivo &#8220;\/var\/log\/syslog&#8221;, desactiva el firewall y finaliza las herramientas de criptominer\u00eda de la competencia, antes de descargar y ejecutar Kinsing. malware desde un servidor remoto.<\/p>\n<p>Vale la pena se\u00f1alar que <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security\/Kinsing-evolves-adds-windows-to-attack-list\" target=\"_blank\">parentesco<\/a> tiene un <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security-research\/atlassian-confluence-vulnerability-observations\" target=\"_blank\">audio grabado<\/a> de aprovechar vulnerabilidades divulgadas p\u00fablicamente en aplicaciones web de acceso p\u00fablico para llevar a cabo sus ataques.<\/p>\n<p>En septiembre de 2022, Trend Micro detall\u00f3 una cadena de ataque id\u00e9ntica que utiliz\u00f3 fallas antiguas de Oracle WebLogic Server (CVE-2020-14882 y CVE-2020-14883) para entregar el malware de miner\u00eda de criptomonedas.<\/p>\n<div class=\"ad_two_webinar clear\"> <span class=\"ad-label\">PR\u00d3XIMO SEMINARIO WEB<\/span> <\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p class=\"ad-description\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p> <a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"ad-button\">Guardar mi asiento!<\/a><\/div>\n<p>Los ataques seleccionados montados por el mismo actor de amenazas contra servidores NiFi expuestos tambi\u00e9n implican la ejecuci\u00f3n de un segundo script de shell que est\u00e1 dise\u00f1ado para recopilar claves SSH del host infectado para conectarse a otros sistemas dentro de la organizaci\u00f3n de la v\u00edctima.<\/p>\n<p>Un indicador notable de la campa\u00f1a en curso es que las actividades reales de ataque y escaneo se llevan a cabo a trav\u00e9s de la direcci\u00f3n IP 109.207.200.[.]43 contra puerto 8080 y puerto 8443\/TCP.<\/p>\n<p>&#8220;Debido a su uso como plataforma de procesamiento de datos, los servidores NiFi a menudo tienen acceso a datos cr\u00edticos para el negocio&#8221;, dijo SANS ISC.  &#8220;Los servidores NiFi son probablemente objetivos atractivos, ya que est\u00e1n configurados con CPU m\u00e1s grandes para admitir tareas de transformaci\u00f3n de datos. El ataque es trivial si el <a rel=\"nofollow noopener\" href=\"https:\/\/nifi.apache.org\/docs\/nifi-docs\/html\/administration-guide.html#user_authentication\" target=\"_blank\">El servidor NiFi no est\u00e1 protegido<\/a>.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/cybercriminals-targeting-apache-nifi.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80231 de mayo de 2023\ue804Ravie Lakshman\u00e1nSeguridad del servidor \/ Criptomoneda Un actor de amenazas motivado financieramente est\u00e1 rastreando<\/p>\n","protected":false},"author":1,"featured_media":782285,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,42964,7848,4661,13476,4664,1868,4662,16853,4668,246,4667,36,10911,165917,4654,4658,4659,4653,4655,18,4663,4666,4665,4660],"class_list":["post-782284","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apache","tag-apuntan","tag-ataques-ciberneticos","tag-ciberdelincuentes","tag-como-hackear","tag-criptomonedas","tag-filtracion-de-datos","tag-instancias","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-los","tag-mineria","tag-nifi","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/782284","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=782284"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/782284\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/782285"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=782284"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=782284"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=782284"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}