Blue Mockingbird Malware está pirateando servidores corporativos para criptojacking

Una nueva banda de malware está explotando algunos servidores para obtener acceso a nivel de administrador. Esto es para usar la máquina para acuñar la criptomoneda Monero y transportarla a los piratas informáticos. El nuevo malware, llamado Ruiseñor azul está explotando una vulnerabilidad conocida en los servidores que utilizan el marco de la interfaz de usuario de Telerik. Los investigadores dicen que los autores de este malware ya han comprometido al menos 1.000 servidores.

Para fines de criptojacking

Las computadoras sofisticadas y sofisticadas son las máquinas deseadas por cualquier cripto-minero. Debido a que están equipados con un enorme poder computacional, pueden acuñar más monedas en menos tiempo que aquellos con menos poder. Y en este caso, servidores. Tienen suficiente poder para ser atacados por piratas informáticos para la minería de criptomonedas. Lo mismo sucedió con la nueva banda de malware, Blue Mockingbird.

Blue Mockingbird: miles de servidores corporativos explotados para criptojacking

Investigadores de canario rojo descubrió este nuevo grupo que explota servidores conectados a Internet, que se ejecutan en aplicaciones ASP.NET utilizando el Estructura Telerik como su componente de interfaz de usuario. Este grupo está explotando esta vulnerabilidad conocida (CVE-2019-18935) desde diciembre del año pasado, y puede haber comprometido al menos 1,000 servidores hasta la fecha, dicen los investigadores. Agregan además que el número se estima a partir de la visibilidad limitada que tenían. Los números comprometidos reales podrían haber sido más.

Los piratas informáticos que aprovechan esta vulnerabilidad están plantando shells web en los servidores y practicando el método Juicy Potato para obtener acceso de nivel de administrador y modificar la configuración para obtener la persistencia del reinicio. Al finalizar, descargan e instalan un XMRRig, una aplicación de minería para dinero en criptomonedas. Esto aprovecha los poderes computacionales del servidor para acuñar monedas para el pirata informático.

Aprender y bloquear en el primer nivel

Los investigadores también dijeron que si este servidor vulnerable también está conectado a la red interna de una empresa, los piratas informáticos también podrían haber penetrado en él. Esto se puede lograr mediante la explotación de protocolos RDP o SMB débiles. Desafortunadamente, la vulnerabilidad en el componente de la interfaz de usuario de Telerik no es muy conocida. Es posible que los desarrolladores o administradores de sistemas ni siquiera sepan que tal componente existe, lo que dificulta su aprendizaje en medio de los ataques.

Por lo tanto, los investigadores nos recomendaron conocer la vulnerabilidad y bloquear los intentos en su nivel de firewall. Hay avisos publicados por Centro Australiano de Seguridad Cibernética y Agencia de Seguridad Nacional de EE. UU. en el pasado, llamándolo una de las vulnerabilidades de servidor más explotadas.

A través de la: ZDNet