La nueva BOTNET VPNFilter compromete 40 mil servidores

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Después del descubrimiento de la botnet de malware VPNFilter, los investigadores de seguridad ahora han descubierto otra botnet gigante que ya ha comprometido más de 40.000 servidores, módems y dispositivos conectados a internet que pertenecen a una gran cantidad de organizaciones en todo el mundo.

Denominada Operación Prowli, la campaña ha estado diseminando malware e inyectando código malicioso para hacerse cargo de servidores y sitios web de todo el mundo utilizando diversas técnicas de ataque, incluido el uso de exploits, contraseñas brutas y abuso de configuraciones débiles.

La Operación Prowli ya ha golpeado a más de 40.000 máquinas de víctimas de más de 9.000 negocios en varios dominios, incluyendo finanzas, educación y organizaciones gubernamentales.

Aquí está la lista de dispositivos y servicios infectados por el Malware Prowli:

  • Servidores Drupal y WordPress CMS que alojan sitios web populares
  • Joomla! servidores que ejecutan la extensión K2
  • Servidores de respaldo que ejecutan el software HP Data Protector
  • Módems DSL
  • Servidores con un puerto SSH abierto
  • Instalaciones PhpMyAdmin
  • Cajas NFS
  • Servidores con puertos SMB expuestos
  • Dispositivos vulnerables del internet de las cosas (IoT)

Todos los objetivos anteriores se infectaron utilizando una vulnerabilidad conocida o adivinación de credenciales.

  • Prowli Malware inyecta criptomonedas Miner
  • prowli-malware-attack

Dado que los atacantes detrás del ataque Prowli están abusando de los dispositivos y sitios web infectados para extraer criptomonedas o ejecutar un script que los redirecciona a sitios web maliciosos, los investigadores creen que están más enfocados en ganar dinero que en ideología o espionaje.

Los dispositivos comprometidos se encontraron infectados con un minero de criptomoneda Monero (XMR) y el gusano “r2r2”, un malware escrito en Golang que ejecuta ataques de fuerza bruta SSH desde los dispositivos infectados, permitiendo que el malware Prowli tome el control de nuevos dispositivos.

A cada nueva campaña de cibercriminales, vemos con singular preocupación que las buenas prácticas habituales de la industria aún no sean parte de nuestra cultura de seguridad.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris