Según Laboratorio de Investigación de
OPERACIÓN WINDIGO:
malware utilizado para atacar
más de 500.000 computadoras
El Laboratorio
de Investigación de ESET, en
colaboración con CERT-Bund (Swedish
National Infrastructure for Computing) y otros organismos, han puesto al
descubierto una campaña cibercriminal que tomó
el control de más de 25.000 servidores Linux y Unix en todo el mundo infectando
a más de 500.000 equipos. Latinoamérica también se vio afectada llegándose
a detectar 900 servidores infectados
en Brasil, más de 300 en México, más de 200 en Argentina y
200 en Chile.
El ataque, denominado "Operación Windigo", ha infectado servidores generando el envío
de millones de emails de spam. El malware está conformado
por sofisticados componentes que están diseñados para secuestrar servidores,
infectar a los equipos que los visitan y robar información. De esta forma, una
vez que los servidores son infectados, son capaces de enviar 35 millones de
mensajes de spam con exploits kits o avisos publicitarios,
que finalmente generarán la redirección de más de 500.000 usuarios de forma
diaria.
El Laboratorio
de Investigación de ESET, que
dejó al descubierto la Operación Windigo,
publicó hoy un documento técnico donde presenta los resultados de las
investigaciones y del análisis del malware. En el documento, también se
proporciona la información necesaria para saber si un sistema ha sido afectado y
cuáles son las medidas a seguir para eliminar el código malicioso.
OPERACIÓN
WINDIGO: fortaleciéndose durante más de tres años
"Windigo ha estado fortaleciéndose durante el
último tiempo y en la actualidad solo quedan 10.000 servidores bajo su
control", dijo el investigador de seguridad ESET Marc-Étienne Léveillé.
"Más de 35 millones de mensajes de spam se envían todos los días a cuentas
de usuarios inocentes, logrando obstruir las bandejas de entrada y poniendo los
sistemas informáticos en riesgo. A su vez, cada día más de medio millón de
computadoras se exponen a la posibilidad de infección al visitar sitios web que
han sido atacados por el malware depositado por Operación Windigo en el
servidor web y que redirecciona a exploits kits maliciosos y anuncios
publicitarios".
Si bien los sitios web afectados por Windigo intentan infectar computadoras
con Windows a través de exploits, para los usuarios de Mac
aparecen anuncios de sitios de citas y quienes usan iPhone son redirigidos a
contenido pornográfico online.
Un llamado a los
administradores de sistemas para tomar medidas contra Windigo
Más del 60% de los sitios web del mundo se ejecutan en
servidores Linux. Los investigadores de ESET
recomiendan a los webmasters y administradores de sistemas que analicen sus
plataformas para ver si han sido comprometidas.
¿Cómo saber si
su servidor está infectado con Windigo?
Los investigadores de ESET recomiendan a los administradores de sistemas Unix y webmasters
que ejecuten el siguiente comando que les dirá si su servidor está dañado:
$ Ssh -G 2 >
& 1 | grep -e ilegal -e indeterminado> / dev / null && echo
"El sistema limpia " | | echo "El sistema infectado"
Solución para las
víctimas de Windigo
"El backdoor Ebury, desplegado por la operación
Windigo, no explota una vulnerabilidad en Linux o OpenSSH", continuó Léveillé. "En su lugar, se instala manualmente
por un atacante malicioso. El hecho de que se las hayan arreglado para hacer
esto en decenas de miles de servidores diferentes, es impactante. Aunque las
soluciones antivirus y la doble autenticación es común en las computadoras de
escritorio, rara vez se utiliza para proteger servidores, haciéndolos
vulnerables a robo de credenciales y a propagar malware fácilmente".
Si los administradores descubren que sus sistemas
están infectados, se les aconseja limpiar la computadora afectada y volver a
instalar el sistema operativo y el software. Es esencial que se utilicen
contraseñas robustas y claves privadas, ya que las credenciales existentes
pueden haber sido comprometidas.
Para un mayor nivel de protección en el futuro, deben
ser consideradas tecnologías tales como doble factor de autenticación.
"Sabemos que limpiar el servidor y volver a
empezar desde cero es una solución difícil de implementar, pero si se han
robado las credenciales de administrador y con ellas se tiene acceso remoto a los
servidores, recomendamos no correr riesgos", explicó Léveillé. "Lamentablemente, algunas de
las víctimas con las que hemos estado en contacto saben que están infectadas,
pero no han hecho nada para limpiar sus sistemas – lo que potencialmente podría
poner a más usuarios en “peligro".
A todos los usuarios se les recuerda que no deben usar
o elegir contraseñas fáciles de fáciles de descifrar por un ciberdelincuente.
Para acceder a más
información, ir a http://www.welivesecurity.com/la-es/2014/03/18/operacion-windigo-malware-utilizado-para-atacar-mas-500-000-computadoras/
No hay comentarios:
Publicar un comentario