En la constante carrera entre ciberseguridad y ciberataques, emergen de manera periódica nuevas amenazas que buscan explotar las vulnerabilidades en sistemas y redes globales. Una de estas amenazas recientes es el malware Migo, un programa malicioso específicamente diseñado para atacar los servidores Redis, una herramienta esencial para muchas empresas debido a su eficiencia en el manejo de grandes volúmenes de datos en tiempo real. Este nuevo peligro representa no solo un desafío técnico sino también un llamado a la acción para profesionales de la seguridad informática y administradores de sistemas.
¿Qué es el Malware Migo?
Expertos en seguridad han identificado una reciente campaña maliciosa dirigida a servidores Redis en entornos Linux, empleando un malware conocido como 'Migo' con el objetivo de minar criptomonedas.
Redis (Remote Dictionary Server) se destaca como un almacén de estructuras de datos en memoria, ampliamente utilizado como base de datos, caché y mediador de mensajes. Es apreciado por su capacidad para procesar miles de solicitudes por segundo, lo que lo hace indispensable para aplicaciones en tiempo real en sectores como el de los videojuegos, tecnología, servicios financieros y atención sanitaria.
Los atacantes constantemente buscan servidores Redis que estén expuestos y sean vulnerables para aprovecharlos con fines de secuestro de recursos, extracción de datos y otras actividades malintencionadas.
Lo que hace particularmente notable a esta nueva variante de malware es su capacidad para ejecutar comandos que comprometen y debilitan el sistema, inactivando las funciones de seguridad de Redis. Esto facilita la realización de operaciones de criptojacking por tiempos extendidos sin ser detectado.
La detección de la campaña Migo se logró mediante el análisis de actividades sospechosas en sistemas trampa, donde se observó que los atacantes empleaban comandos de la interfaz de línea de comandos (CLI) para neutralizar configuraciones de seguridad y así explotar los servidores afectados.
Te podrá interesar: Análisis de Malware con Wazuh
¿Cómo desactiva las defensas de seguridad en Redis?
Al comprometer servidores Redis expuestos, los atacantes desactivan funciones de seguridad esenciales para facilitar la recepción de comandos subsiguientes y habilitar réplicas con capacidad de escritura. Se observó que los atacantes desactivaban configuraciones clave a través de la interfaz de línea de comandos (CLI) de Redis:
- Establecer modo protegido: Al desactivar esta configuración, se permite el acceso externo al servidor Redis, facilitando así que un atacante ejecute comandos maliciosos de manera remota.
- Réplica de solo lectura: Desactivar esta opción habilita a los atacantes para escribir directamente en las réplicas, lo que les permite difundir cargas maliciosas o alteraciones de datos en una configuración distribuida de Redis.
- Aof-rewrite-incremental-fsync: Deshabilitar esta configuración puede aumentar la carga de IO durante las reescrituras de archivos de solo adición (AOF), lo cual podría ayudar a los atacantes a evadir la detección al generar patrones inusuales de IO.
- Rdb-save-incremental-fsync: Al desactivarlo, se puede degradar el rendimiento durante el guardado de las instantáneas RDB, permitiendo potencialmente a los atacantes causar una denegación de servicio (DoS) o manipular el comportamiento de persistencia a su favor.
Conoce más sobre: 3 Métodos de Hackers Para Robar Criptomonedas
Comando ejecutado detectado
Posteriormente, los atacantes configuran un trabajo cron para descargar un script de Pastebin, que a su vez recupera la carga útil principal de Migo desde Transfer.sh para ejecutarla en segundo plano.
Esta carga es un binario ELF comprimido con UPX y compilado en Go, que incluye ofuscación en tiempo de compilación para dificultar su análisis. La principal función de este malware es buscar, instalar y ejecutar una versión modificada del minero XMRig (Monero) directamente desde la CDN de GitHub en el sistema comprometido.
Para asegurar la persistencia del minero, el malware crea un servicio systemd y un temporizador asociado, garantizando su ejecución continua para minar criptomonedas en la cuenta del atacante. El malware también utiliza un rootkit en modo usuario para ocultar sus procesos y archivos, complicando así su detección y eliminación. Modifica '/etc/ld.so.preload' para interceptar y alterar el comportamiento de las herramientas del sistema que listan procesos y archivos, ocultando efectivamente su presencia.
El ataque culmina con la configuración de reglas de firewall para bloquear el tráfico saliente a determinadas IPs, ejecutando comandos para deshabilitar SELinux, buscar y potencialmente desactivar agentes de monitoreo de la nube, eliminar mineros o cargas de la competencia, y manipular '/etc/hosts' para prevenir la comunicación con servicios en la nube, ocultando aún más su actividad.
La estrategia de ataque de Migo revela un conocimiento profundo del entorno y operaciones de Redis por parte del actor de la amenaza. Aunque el criptojacking por sí solo no representa una amenaza crítica al no provocar interrupciones directas ni corrupción de datos, el acceso ganado podría ser utilizado para entregar cargas útiles más dañinas.
Te podría interesar leer: La relación intrincada entre el cibercrimen y las criptomonedas
Conclusión
En conclusión, la campaña maliciosa dirigida a servidores Redis subraya la importancia de mantener robustas medidas de seguridad y vigilancia constante en nuestras infraestructuras críticas. La habilidad de los atacantes para desactivar funciones de seguridad clave y ejecutar cargas maliciosas demuestra la sofisticación y el enfoque estratégico detrás de los ataques cibernéticos modernos.
Este caso resalta la necesidad de adoptar prácticas de seguridad proactivas, como la configuración segura de los sistemas, la actualización y el parcheo regular de software, y el monitoreo continuo de la red para detectar y responder rápidamente a cualquier actividad sospechosa.