Actualiza tu equipo: una nueva botnet busca vulnerabilidades para minar criptomonedas

Actualiza tu equipo: una nueva botnet busca vulnerabilidades para minar criptomonedas

Javier Jiménez

En muchas ocasiones los piratas informáticos se aprovechan de fallos de seguridad que hay en los equipos para llevar a cabo sus ataques. Esto es lo que ocurre con la nueva botnet que busca minar criptomonedas tanto en sistemas Windows como en Linux. Rastrea en busca de vulnerabilidades para lograr su objetivo. Se trata de Sysrv-hello y fue descubierta por Alibaba Cloud.

Sysrv-hello, una botnet que busca vulnerabilidades en Windows o Linux

La minería oculta de criptomonedas es un problema muy a tener en cuenta, ya que puede llevar al extremo nuestro equipo y afectar no solo al rendimiento, sino también a los componentes de hardware. Es un tipo de amenaza que en los últimos años ha aumentado considerablemente debido al auge de las monedas digitales.

A fin de cuentas los piratas informáticos buscan la manera de lucrarse. Crean nuevas técnicas de ataques, buscan fallos que puedan explotar y, en definitiva, infectar los equipos de las víctimas. Con Sysrv-hello consiguen colar una botnet para minar criptomonedas tanto en Windows como en Linux. Concretamente se encarga de minar Monero, una de las criptodivisas más populares.

Esta botnet fue descubierta por primera vez en febrero, pero lleva activa desde diciembre de 2020. Fue en marzo cuando tuvo un importante aumento de actividad. Actualmente se ha actualizado para poder usar un único binario capaz de extraer y colar malware de forma automática en otros dispositivos.

¿Cómo funciona Sysrv-hello? Básicamente lo que hace es rastrear Internet en busca de equipos vulnerables. De esta forma podría infectar esos sistemas e introducir su ejército de botnets y comenzar a minar Monero.

Según indican los investigadores de seguridad, se basan en vulnerabilidades que encuentran en la ejecución remota de código en PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic y Apache Struts.

Hay que tener en cuenta que una vez ha logrado piratear el servidor, este malware es capaz de propagarse por la red a través de ataques de fuerza bruta usando claves privadas SSH que recopila de los servidores infectados.

Ha habido principalmente seis vulnerabilidades explotadas, que son las siguientes:

  • Mongo Express RCE (CVE-2019-10758)
  • XML-RPC (CVE-2017-11610)
  • Saltstack RCE (CVE-2020-16846)
  • Drupal Ajax RCE (CVE-2018-7600)
  • ThinkPHP RCE (sin CVE)
  • XXL-JOB Unauth RCE (sin CVE)

Aumento de botnets y exploits

Cómo protegernos de la minería de criptomonedas

Hemos visto cómo esta nueva botnet es capaz de infectar sistemas con Windows o Linux para llevar a cabo sus ataques y minar criptodivisas. Sin embargo podemos toparnos con amenazas similares que pueden aprovechar nuestro equipo para lograr su objetivo. Evitar ataques de botnet es algo que debemos tener muy presente.

Sin duda lo más importante para evitar ser víctimas de este problema es tener los equipos actualizados. Hemos visto que necesita en este caso sistemas vulnerables, sin actualizar. Por tanto, el principal consejo es tener siempre actualizados los equipos. No importa qué sistema operativo estemos utilizando.

También va a ser importante tener programas de seguridad. Un buen antivirus puede ayudar a evitar muchas variedades de software malicioso que de una u otra forma podrían comprometernos. Es esencial aplicar esto sin importar qué sistema operativo estamos utilizando.

Pero otra cuestión también fundamental es el sentido común. Debemos evitar cometer errores que pueden ser aprovechados por los piratas informáticos y poner en riesgo nuestros equipos. Por ejemplo sería un error descargar programas desde sitios de terceros sin verificar si son legítimos, bajar archivos adjuntos que puedan ser peligrosos o iniciar sesión en una red insegura.