Aunque no se conoce su nombre exacto, los expertos en seguridad han bautizado a este grupo como SSHPsychos y desde hace tiempo analizan el tráfico de Internet para recopilar las contraseñas SSH y así crear un diccionario. A día de hoy este posee un tamaño de 300.000 contraseñas y podría utilizarse para realizar ataques de fuerza bruta contra los servidores. Os recomendamos visitar nuestro tutorial sobre ver claves WiFi guardadas en Windows.
La finalidad de crear este diccionario no es otra que la de acceder a los servidores y vincularlos a una botnet para realizar ataques de denegación de servicio contra otros equipos gracias a la instalación de rootkit que permite la gestión del mismo de forma remota. El malware fue descubierto en septiembre del pasado año pero recientemente se ha descubierto una nueva versión que no dista mucho de la anterior y que posee las mismas funciones.
Desde Cisco también se han puesto manos a la obra para monitorizar la actividad del ataque y se han percatado de que estos están utilizando el diccionario para iniciar sesión en las cuentas root de los servidores, permitiéndolos realizar ataques de fuerza bruta. Una vez que han encontrado la combinación adecuada el inicio de sesión se realiza desde Rusia y se ordena al servidor descargar e instalar un archivo, es decir, el instalador del rootkit.
El rootkit protege a la máquina de otros malware
Además de todo lo citado con anterioridad, se ha visto que el malware que se instala en el servidor es capaz de proteger al equipo de la instalación de ambos, eliminando la posibilidad de que se instale nuevas aplicaciones sin el consentimiento de los ciberdelincuentes.
Detener la actividad de SSHPsychos no resulta fácil
Debido a las numerosas direcciones IP utilizadas y que se esconden detrás de servidores Proxy, resulta muy complicado conocer la dirección IP real de los ciberdelincuentes. Hasta encontrar una solución los responsables de varias empresas de seguridad informática han recomendado desactivar la cuenta root del servidor SSH o bien configurar un número máximo de intentos de acceso desde una misma dirección IP, procediendo posteriormente al bloqueo de la dirección.