Mayhem, un malware que afecta a servidores Linux y FreeBSD

Escrito por Adrián Crespo
GNU Linux
0

Hasta este momento Windows sigue llevándose prácticamente la totalidad de infecciones en lo referido a servidores y equipos de empresas y particulares. Sin embargo, comienzan a aparecer los primeros malware que están diseñados para afectar sistemas Linux, como es el caso de Mayhem, un malware que ya ha afectado a un total de 1.400 servidores a lo largo de varios países por todo el mundo.

Este virus está afectando a servidores que posean Linux o FreeBSD, siendo principalmente el objetivo aquellos servidores que no posean todas las actualizaciones de seguridad instaladas. Hasta el momento se han infectado máquinas en Estados Unidos, Alemania, Canadá y Rusia, aunque no se descarta en ningún momento que más equipos y de otros países se unan a los ya 1.400 que hay infectados.

La finalidad de este malware es la de unir al equipo a una botnet y posee una estructura modular, es decir, lo que en un principio llega al equipo no se trata ni mucho menos el malware definitivo. Se ha detectado que gracias a una comunicación remota que se establece con un servidor ubicado en Rusia, el malware puede ser capaz de adquirir nuevas funciones gracias a la instalación de complementos. Estos complementos funcionan como si de un plugin de un navegador web se tratase.

Una vulnerabilidad en OpenSSL no actualizada podría ser la culpable

Tal y como ya hemos indicado con anterioridad, el malware llega al equipo aprovechándose de una vulnerabilidad existente en alguno de los programas que se encuentra instalado en este. Todo parece apuntar a que es una vulnerabilidad detectada el pasado mes en OpenSSL la que podría estar permitiendo la llegada de este malware. La vulnerabilidad puede ser resuelta gracias a una actualización que está disponible, sin embargo, existen muchos administradores que no han realizado todavía esta acción y el equipo es por lo tanto vulnerable.

Escasa actividad desde abril

La primera vez que se localizó el malware fue hace ya varios meses. Desde entonces, su actividad ha sido prácticamente nula y ha sido durante la semana pasada cuando mayor actividad ha mostrado el virus. Desde VirusTotal creen que el virus permanecerá muy activo al menos durante las próximas tres semanas.

Fuente | The Hacker News


Noticias relacionadas