Ha surgido un malware centrado en Linux denominado Shikitega para apuntar a puntos finales y dispositivos de Internet de las cosas (IoT) con una cadena de infección única de varias etapas que da como resultado la adquisición total del dispositivo y un criptominero.
Los investigadores de AT&T Alien Labs que detectaron el código incorrecto dijeron que el flujo de ataque consta de una serie de módulos. Cada módulo no solo descarga y ejecuta el siguiente, sino que cada una de estas capas tiene un propósito específico, según un publicación del martes de Alien Labs.
Por ejemplo, un módulo instala Meterpreter “Mettle” de Metasploit, que permite a los atacantes maximizar su control sobre las máquinas infectadas con la capacidad de ejecutar código shell, hacerse cargo de cámaras web y otras funciones, y más. Otro es responsable de explotar dos vulnerabilidades de Linux (CVE-2021-3493
y CVE-2021-4034) para lograr la escalada de privilegios como raíz y lograr la persistencia; y otro más ejecuta el conocido criptominero XMRig para minar Monero.
Otras capacidades notables en el malware incluyen el uso del codificador polimórfico “Shikata Ga Nai” para frustrar la detección por parte de los motores antivirus; y el abuso de servicios en la nube legítimos para almacenar servidores de comando y control (C2). Según la investigación, los C2 se pueden usar para enviar varios comandos de shell al malware, lo que permite a los atacantes un control total sobre el objetivo.
Explotaciones de malware de Linux en aumento
Shikitega es indicativo de una tendencia hacia los ciberdelincuentes desarrollo de malware para Linux – la categoría se ha disparado en los últimos 12 meses, dijeron los investigadores de Alien Labs, con un aumento del 650%.
La incorporación de exploits de errores también está en aumento, agregaron.
“Los actores de amenazas encuentran servidores, puntos finales y dispositivos IoT basados en sistemas operativos Linux cada vez más valiosos y encuentran nuevas formas de entregar sus cargas maliciosas”, según la publicación. "Nuevo programas maliciosos como BotenaGo y EnemigoBot
son ejemplos de cómo los creadores de malware incorporan rápidamente vulnerabilidades descubiertas recientemente para encontrar nuevas víctimas y aumentar su alcance”.
En una nota relacionada, Linux también se está convirtiendo en un objetivo popular para el ransomware: un informe de Trend Micro esta semana identificó un aumento del 75% en ataques de ransomware dirigidos a sistemas Linux en la primera mitad de 2022 en comparación con el mismo período del año pasado.
Cómo protegerse contra las infecciones por Shikitega
Terry Olaes, director de ingeniería de ventas de Skybox Security, dijo que si bien el malware puede ser nuevo, las defensas convencionales seguirán siendo importantes para frustrar las infecciones de Shikitega.
“A pesar de los métodos novedosos utilizados por Shikitega, todavía depende de la arquitectura probada y verdadera, C2 y el acceso a Internet para ser completamente efectivo”, dijo en un comunicado proporcionado a Dark Reading. “Los administradores de sistemas deben considerar el acceso a la red adecuado para sus hosts y evaluar los controles que rigen la segmentación. Ser capaz de consultar un modelo de red para determinar dónde existe el acceso a la nube puede contribuir en gran medida a comprender y mitigar el riesgo de los entornos críticos”.
Además, dado el enfoque que muchas variantes de Linux ponen en incorporar vulnerabilidades de errores de seguridad, aconsejó a las empresas que, por supuesto, se centren en la aplicación de parches. También sugirió incorporar un proceso personalizado de priorización de parches, que es más fácil decirlo que hacerlo.
“Eso significa adoptar un enfoque más proactivo para la gestión de vulnerabilidades aprendiendo a identificar y priorizar las vulnerabilidades expuestas en todo el panorama de amenazas”, dijo. “Las organizaciones deben asegurarse de tener soluciones capaces de cuantificar el impacto comercial de los riesgos cibernéticos con factores de impacto económico. Esto les ayudará a identificar y priorizar las amenazas más críticas en función del tamaño del impacto financiero, entre otros análisis de riesgo, como las puntuaciones de riesgo basadas en la exposición”.
Agregó: “También deben mejorar la madurez de sus programas de gestión de vulnerabilidades para garantizar que puedan descubrir rápidamente si una vulnerabilidad los afecta o no, qué tan urgente es remediar y qué opciones hay para dicha remediación”.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
