Servidores Windows y Linux objetivo de la nueva botnet WatchDog durante casi dos años

45

La botnet WatchDog utiliza exploits para hacerse cargo de los servidores y extraer criptomonedas.Debido al reciente aumento de los precios de comercio de criptomonedas, la mayoría de los sistemas en línea en estos días a menudo están bajo el asalto de botnets de criptominería que buscan afianzarse en sistemas no seguros y obtener ganancias para sus amos criminales.

La última de estas amenazas es una botnet llamada  WatchDog . Descubierta por Unit42, una división de seguridad de Palo Alto Networks, esta botnet de minería criptográfica ha estado activa desde enero de 2019 .

Escrito en el lenguaje de programación Go, los investigadores dicen que han visto a WatchDog infectar sistemas Windows y Linux.

El punto de entrada de sus ataques han sido las aplicaciones empresariales obsoletas. Según un  análisis de las operaciones de la botnet WatchDog  publicado el miércoles, la Unidad 42 dijo que los operadores de la botnet utilizaron 33 exploits diferentes para atacar 32 vulnerabilidades en software como:

  • Drupal
  • Elasticsearch
  • Apache Hadoop
  • Redis
  • Spring Data Commons
  • servidor SQL
  • ThinkPHP
  • Oracle WebLogic
  • CCTV (actualmente se desconoce si el objetivo es un dispositivo de CCTV o si hay otro apodo que podría significar “cctv”).

Con base en los detalles que el equipo de Unit42 pudo aprender al analizar los binarios de malware WatchDog, los investigadores estimaron que el tamaño de la botnet era de alrededor de 500 a 1,000 sistemas infectados.

Las ganancias se estimaron en 209 monedas Monero, actualmente valoradas en alrededor de $ 32,000, pero se cree que la cifra real es mucho mayor, ya que los investigadores solo lograron analizar algunos binarios, y se cree que la banda WatchDog utilizó muchas más direcciones de Monero para recopilar sus Fondos ilegales de criptominería.

NO SE OBSERVÓ ROBO DE CREDENCIALES

La buena noticia para los propietarios de servidores es que WatchDog aún no está a la par con las recientes botnets de minería de criptomonedas como  TeamTNT  y  Rocke , que en los últimos meses han agregado capacidades que les permiten extraer credenciales para los sistemas AWS y Docker de los servidores infectados.

Sin embargo, el equipo de Unit42 advierte que tal actualización está a solo unas pocas teclas de distancia para los atacantes WatchDog.

En los servidores infectados, WatchDog generalmente se ejecuta con privilegios de administrador y podría realizar un escaneo y volcado de credenciales sin ninguna dificultad, si sus creadores alguna vez quisieran.

Para proteger sus sistemas contra esta nueva amenaza, el consejo para los defensores de la red es el mismo que los expertos en seguridad han estado dando durante la última década: mantenga los sistemas y sus aplicaciones actualizados para evitar ataques que utilicen exploits para vulnerabilidades antiguas.

Fuente: zdnet.com.