Con el aumento de servicios en la nube mal configurados, los ciberdelincuentes han encontrado un nuevo campo de juego: el uso de cryptominers para explotar estas vulnerabilidades. En este artículo arrojaremos luz sobre esta tendencia creciente, destacando la importancia de configuraciones seguras y prácticas de protección eficaces.
Los "cryptominers" son programas diseñados para usar recursos informáticos para minar criptomonedas. Normalmente, esta actividad requiere una gran cantidad de poder de procesamiento, lo que lleva a los ciberdelincuentes a buscar formas de utilizar recursos ajenos, generalmente sin el conocimiento o consentimiento del propietario.
Podría interesarte leer: Ataques de Cryptojacking: Protección de Recursos
Expertos en seguridad cibernética han detectado un nuevo ataque que se aprovecha de configuraciones incorrectas en Apache Hadoop y Flink para instalar mineros de criptomonedas en entornos específicos. En un análisis publicado recientemente, se menciona que este ataque es notable debido al uso de empaquetadores y rootkits por parte del atacante para ocultar el malware. El malware elimina el contenido de directorios específicos y modifica las configuraciones del sistema para evitar la detección.
Te podrá interesar leer: Protección contra Rootkits con Wazuh
La cadena de infección dirigida a Hadoop explota una configuración errónea en el ResourceManager de YARN (Yet Another Resource Negotiator), que es responsable de administrar recursos en un clúster y programar aplicaciones. La configuración incorrecta puede ser utilizada por un actor de amenazas remoto no autenticado para ejecutar código arbitrario mediante una solicitud HTTP diseñada, sujeta a los privilegios del usuario en el nodo donde se ejecuta el código.
Los ataques dirigidos a Apache Flink también se aprovechan de una configuración incorrecta que permite a un atacante remoto ejecutar código sin autenticación. Estas configuraciones incorrectas no son nuevas y han sido explotadas previamente por grupos con motivaciones financieras, como TeamTNT, conocido por apuntar a entornos Docker y Kubernetes para actividades maliciosas, incluyendo el criptojacking.
Lo que destaca en este conjunto de ataques es el uso de rootkits para ocultar los procesos de minería de criptomonedas después de infiltrarse en las aplicaciones Hadoop y Flink. El atacante envía una solicitud no autenticada para implementar una nueva aplicación y puede ejecutar código remoto al enviar una solicitud POST a YARN, solicitando iniciar la nueva aplicación con su comando. Este comando borra el contenido del directorio /tmp, recupera un archivo llamado "dca" de un servidor remoto y lo ejecuta, luego elimina los archivos en el directorio /tmp.
La carga útil ejecutada es un binario ELF empaquetado que actúa como un descargador para recuperar dos rootkits y un binario minero de criptomonedas Monero. Varios adversarios, incluido Kinsing, han utilizado rootkits para ocultar la presencia del proceso de minería. Para lograr persistencia, se crea un trabajo que descarga y ejecuta un script de shell que implementa el binario "dca". Un análisis más detallado de la infraestructura del actor de amenazas revela que el servidor de prueba utilizado para recuperar el descargador se registró el 31 de octubre de 2023.
Como medida de mitigación, se recomienda que las organizaciones implementen soluciones de seguridad basadas en agentes para detectar criptomineros, rootkits, archivos binarios ofuscados o empaquetados, y otros comportamientos sospechosos en tiempo de ejecución.
Te podrá interesar leer: ¿Qué es un SOC como Servicio?
Protegerse de los cryptominers implica una serie de estrategias y mejores prácticas, incluyendo:
Fortalecimiento de Contraseñas y Autenticación: Utilizar contraseñas fuertes y habilitar la autenticación de dos factores puede prevenir accesos no autorizados a los servicios en la nube.
Configuración Adecuada de los Servicios en la Nube: Asegurarse de que todos los servicios y características estén correctamente configurados para evitar brechas de seguridad.
Monitoreo Continuo: Implementar soluciones de monitoreo para detectar actividad inusual, como un uso elevado de CPU que podría indicar la presencia de cryptominers.
Actualizaciones y Parches Regulares: Mantener los sistemas y aplicaciones actualizados con los últimos parches de seguridad para proteger contra vulnerabilidades conocidas.
Educación y Concienciación: Capacitar al personal sobre los riesgos de seguridad y las mejores prácticas para evitar caer en trampas de ciberdelincuentes.
Los cryptominers que se aprovechan de servicios en la nube mal configurados representan una amenaza significativa en el mundo digital. Sin embargo, con las prácticas y herramientas adecuadas, las empresas pueden protegerse eficazmente. La clave está en una configuración segura, monitoreo constante y una cultura de concienciación en seguridad.