Bajo el nombre «Operación Windigo», el ataque tomó el control de más de 25.000 servidores Linux y Unix en todo el mundo infectando a más de 500.000 equipos. Fue detectado por el Laboratorio de Investigación de ESET, en colaboración con CERT-Bund (Swedish National Infrastructure for Computing) y otros organismos. Cómo afectó a Latinoamérica, recomendaciones y soluciones.
El malware, que infectó servidores generando el envío de millones de e-mails de spam, está conformado por sofisticados componentes que están diseñados para secuestrar servidores, infectar a los equipos que los visitan y robar información. Luego, una vez que los dispositivos fueron afectados son capaces de enviar 35 millones de mensajes de spam con exploits kits o avisos publicitarios, que finalmente generarán la redirección de más de 500.000 usuarios de forma diaria.
En este sentido, Latinoamérica también se vio afectada llegándose a detectar 900 servidores infectados en Brasil, más de 300 en México, más de 200 en Argentina y 200 en Chile.
El Laboratorio de Investigación de ESET, que dejó al descubierto la Operación Windigo, publicó un documento técnico donde presenta los resultados de las investigaciones y del análisis del malware. En el documento, también se proporciona la información necesaria para saber si un sistema ha sido afectado y cuáles son las medidas a seguir para eliminar el código malicioso.
“Windigo ha estado fortaleciéndose durante el último tiempo y en la actualidad sólo quedan 10.000 servidores bajo su control. Más de 35 millones de mensajes de spam se envían todos los días a cuentas de usuarios inocentes, logrando obstruir las bandejas de entrada y poniendo los sistemas informáticos en riesgo. A su vez, cada día más de medio millón de computadoras se exponen a la posibilidad de infección al visitar sitios web que han sido atacados por el malware depositado por Operación Windigo en el servidor web y que redirecciona a exploits kits maliciosos y anuncios publicitarios”, aseguró el investigador de seguridad ESET Marc-Étienne Léveillé.
Si bien los sitios web afectados por Windigo intentan infectar computadoras con Windows a través de exploits, para los usuarios de Mac aparecen anuncios de sitios de citas y quienes usan iPhone son redirigidos a contenido pornográfico online.
Medidas frente a este ataque
Más del 60% de los sitios web del mundo se ejecutan en servidores Linux. Los investigadores de ESET recomiendan a los webmasters y administradores de sistemas que analicen sus plataformas para ver si han sido comprometidas.
Detección
Los investigadores de ESET recomiendan a los administradores de sistemas Unix y webmasters que ejecuten el siguiente comando que les dirá si su servidor está dañado:
$ Ssh -G 2 > & 1 | grep -e ilegal -e indeterminado> / dev / null && echo «El sistema limpia » | | echo «El sistema infectado»
Solución
«El backdoor Ebury, desplegado por la operación Windigo, no explota una vulnerabilidad en Linux o OpenSSH. En su lugar, se instala manualmente por un atacante malicioso. El hecho de que se las hayan arreglado para hacer esto en decenas de miles de servidores diferentes, es impactante. Aunque las soluciones antivirus y la doble autenticación es común en las computadoras de escritorio, rara vez se utiliza para proteger servidores, haciéndolos vulnerables a robo de credenciales y a propagar malware fácilmente», agregó el investigador.
Si los administradores descubren que sus sistemas están infectados, se les aconseja limpiar la computadora afectada y volver a instalar el sistema operativo y el software. Es esencial que se utilicen contraseñas robustas y claves privadas, ya que las credenciales existentes pueden haber sido comprometidas.
Para un mayor nivel de protección en el futuro, deben ser consideradas tecnologías tales como doble factor de autenticación.
A todos los usuarios se les recuerda que no deben usar o elegir contraseñas fáciles de descifrar por un ciberdelincuente.
Más información
