Infectan los servidores Jenkins con un malware que mina Monero

Escrito por Adrián Crespo

Como ya hemos indicado en más de una ocasión, se trata de un problema que no solo está afectando a los usuarios particulares, también a importantes servicios. Expertos en seguridad han detectado un malware en algunos servidores con el servicio Jenkins instalado que tenía como finalidad minar criptomonedas. Para ser más exactos, Monero. Los ciberdelincuentes habrían conseguido con esta amenaza una cantidad próxima a los 3 millones de dólares.

Para todo aquel que no conozca el servicio Jenkins, es bastante popular entre los desarrolladores. Aunque permite la realización de pruebas de una aplicación desarrollada, no solo se limita a eso. Se trata de una aplicación open-source que está programada en Java y que sirve como contenedor para servlets, como, por ejemplo, Apache Tomcat. Pero su funcionalidad no termina aquí. Soporta control de versiones, ejecutar shell scripts, programas batch de Windows.

Ahora, los ciberdelincuentes también le han asignado una nueva utilidad. En este caso, hablamos del minado de criptomonedas.

Check Point ha sido la firma de seguridad encargada de desvelar el problema existente en la mayoría de servidores que cuentan con este software y accesibles a través de Internet. Este último es un dato bastante clarificador. Casi con total seguridad, estemos hablando de un problema de seguridad en la configuración del servidor.

Desde la compañía especializada en materia de seguridad han querido realizar algunas puntualizaciones. En primer lugar, solo equipos con sistema operativo Windows se están viendo afectados. En ellos, se está realizando la descarga de un ejecutable. Este posee el nombre minerxmr.exe. Se trata de la aplicación descargada que se encargará de realizar el minado.

Más información asociada con el minado de Monero en servidores Jenkins

El ejecutable desde una dirección IP que está ubicada en China. Indagando un poco más, se observa que un servidor utilizado pertenece a la red del Gobierno de Huaian. Es decir, resulta bastante probable que los ciberdelincuentes se estén valiendo de servidores comprometidos para distribuir la amenaza.

¿Cómo llegan a los equipos con la aplicación Jenkins? Antes lanzábamos la duda de si el malware llegaba utilizando una configuración inadecuada del servidor o un fallo en el software. Gracias a Check Point podemos salir de dudas. Los ciberdelincuentes se están valiendo del fallo catalogado como CVE-2017-1000353 para que el ejecutable llegue al equipo.

El software ha permanecido activo durante varios meses, posibilitando que los ciberdelincuentes logren un botín interesante. La cantidad está próxima a los 3 millones de dólares, aunque es probable que en los próximos días esta cantidad aumente. Los servidores afectados se cuentan por miles, pero no se posee una visión exacta. Algunos creen que la cifra podría ser superior a 25.000.

Los servidores web en el punto de mira

Un recurso accesible desde Internet y que muchas veces no está protegido de forma correcta. Cada vez es más frecuente que los ciberdelincuentes recurran a estos equipos para minar criptomonedas. Será algo a lo que aún tendremos que acostumbrarnos, o al menos hasta que la fiebre de las criptomonedas cese. La mayoría de las situaciones que posibilitan la instalación del software de minado se deben a una mala configuración de la seguridad, y no vulnerabilidades.

Fuente > Bleeping Computer