Cryptoworm, la nueva amenaza para el servicio en la nube AWS

Cryptoworm, la nueva amenaza para el servicio en la nube AWS

Javier Jiménez

Nos hacemos eco de una nueva amenaza que afecta a los servicios en la nube de AWS. Se trata de Cryptoworm, un gusano que es capaz de instalar una puerta trasera. El objetivo es minar criptomonedas aprovechando los recursos disponibles. Hay que tener en cuenta que los servidores de Amazon son muy utilizados por los usuarios y que en muchas ocasiones ha habido problemas de seguridad.

Cryptoworm, la nueva amenaza que afecta a AWS

Los servidores de Amazon han aparecido en la prensa en ocasiones cuando los usuarios han tenido una mala configuración y eso ha expuesto los datos o cuando ha habido alguna vulnerabilidad. Sin embargo en esta ocasión el problema es otro. Se trata de Cryptoworm, un gusano que puede instalar una puerta trasera.

Este gusano ha estado infectando la nube de AWS. Lo han descubierto desde Cado Security. Lo que hace este malware es robar credenciales de usuario de AWS con la ayuda de un código simple. Según indican creen que es de TeamTNT. Este gusano usa esas credenciales para instalar una herramienta de minería llamada XMRig que le ayuda a minar la criptomoneda Monero.

Por tanto podemos decir que la principal función de esta amenaza es minar criptodivisas. Su objetivo es atacar los sistemas y aprovecharse de los recursos disponibles. Ya sabemos que la minería de criptomonedas puede dañar gravemente los dispositivos, ya que se aprovecha del hardware disponible y lo puede llevar al extremo en cuanto al funcionamiento.

JAWS, la nueva tecnología para controlar el JavaScript

Otras funciones además de minar criptomonedas

Sin embargo, aunque su principal misión sea minar criptomonedas de Monero, también cuenta con otras funciones. Cryptoworm cuenta con un limpiador de registros para eliminar todo rastro de su actividad maliciosa. También cuenta con un rootkit llamado Diamorfina.

Por otra parte, dispone de una herramienta de post-explotación llamada punk.py que se ejecuta en SSH. Igualmente crea una puerta trasera llamada Tsunami.

Más allá de esto, los atacantes también reciben informes que indican el total de sistemas infectados y cuántas monedas se han extraído, entre otros detalles.Este gusano utiliza el código de otro previo llamado Kinsing.

Es importante que los usuarios de AWS comprueben si alguno de sus archivos de credenciales se ha dejado expuesto por error y eliminarlos de inmediato.

En definitiva, Cryptoworm es un gusano que ha podido poner en riesgo los servidores AWS de muchos usuarios. Puede dañar la seguridad y privacidad. Es muy importante que siempre mantengamos los equipos actualizados correctamente. Son muchas las vulnerabilidades que pueden surgir, pero por suerte los desarrolladores suelen lanzar parches para corregirlos. De ahí la importancia de siempre tener los sistemas con las últimas versiones disponibles.

Desde RedesZone recomendamos que comprobemos periódicamente que tenemos las últimas versiones instaladas. Así podremos mejorar no solo el rendimiento, sino también la seguridad y evitar posibles problemas.

Os dejamos un artículo donde hablamos de qué podemos hacer con servidores domésticos. Una serie de cuestiones a tener en cuenta.