De acuerdo con la unidad de investigación de SILIKN, al menos 22 dependencias gubernamentales están en alto riesgo por una nueva serie de ataques diseñados para diseminar el malware de botnet Mirai y mineros de criptomonedas, aprovechando las vulnerabilidades de servidores Apache Tomcat mal configurados y mal protegidos.
En este sentido, los cibercriminales buscan servidores Apache Tomcat y lanzan ataques de fuerza bruta contra ellos, intentando obtener acceso al administrador de aplicaciones web de Tomcat, probando diferentes combinaciones de credenciales asociadas con éstos.
Al obtener un punto de apoyo exitoso, los cibercriminales implementan un archivo WAR que contiene una clase de shell web maliciosa llamada ‘cmd.jsp’ que, a su vez, está diseñada para escuchar solicitudes remotas y ejecutar comandos arbitrarios en el servidor Apache Tomcat. Esto incluye descargar y ejecutar un script de shell llamado «neww», después de lo cual el archivo se elimina con el comando de Linux «rm -rf». El script contiene enlaces para descargar doce archivos binarios y, cada archivo, es adecuado para una arquitectura específica según el sistema que ha sido atacado por los cibercriminales.
El malware de etapa final es una variante de la red de bots Mirai que utiliza los hosts infectados para orquestar ataques de denegación de servicio distribuido (DDoS). Una vez que los cibercriminales obtienen acceso al administrador de aplicaciones web utilizando credenciales válidas, aprovechan la plataforma para cargar un shell web disfrazado en un archivo WAR, luego, ejecutan comandos de forma remota y lanzan los ataques.
Para mitigar los ataques en curso, se recomienda que las dependencias aseguren sus entornos y sigan las buenas prácticas e higiene de las credenciales para evitar ataques de fuerza bruta.
Las dependencias de gobierno que están en alto riesgo ante este tipo de ataques son:
- – Instituto de Planeación del Estado de Nayarit
- – Cita Verificación Vehicular del Gobierno del Estado de México
- – Unidad del Sistema para la Carrera de las Maestras y Maestros
- – Buzón Ciudadano de la Secretaría de la Contraloría del Poder Ejecutivo del Estado de Morelos
- – Instituto de Educación para Adultos de Tabasco – INEA Tabasco
- – Instituto de la Función Registral del Estado de México – IFREM
- – Instituto Nacional de Antropología e Historia – INAH
- – Catálogo Estatal de Trámites y Servicios (CAT) del Gobierno del Estado de Michoacán
- – Centro de las Artes de San Luis Potosí
- – Comisión Nacional para el Conocimiento y Uso de la Biodiversidad – CONABIO
- – Secretaría de Desarrollo Urbano y Vivienda de la Ciudad de México
- – Sistema Anticorrupción del Estado de Quintana Roo – SESAEQROO
- – Centro Nacional de Prevención de Desastres – CENAPRED
- – Procuraduría Federal de Protección al Ambiente
- – Poder Judicial del Estado de Morelos
- – Banco Nacional de Obras y Servicios Públicos – Banobras
- – Instituto Mexicano de la Propiedad Industrial – IMPI
- – Sistema de Información de la Secretaría de Salud
- – Secretaría de Educación Pública de Hidalgo
- – Servicios de Salud de San Luis Potosí
- – Secretaría de Medio Ambiente y Recursos Naturales
- – Gobierno Municipal de Acayucan, Veracruz
¿Qué es Mirai?
La botnet Mirai es un tipo de red de bots (botnet) que se hizo famosa en septiembre de 2016 cuando llevó a cabo un ataque masivo de denegación de servicio distribuido (DDoS) que afectó a grandes partes de Internet. Esta botnet se destacó por su capacidad para reclutar una gran cantidad de dispositivos conectados a Internet, como cámaras de seguridad, enrutadores y otros dispositivos de Internet de las cosas (IoT), y utilizarlos para llevar a cabo ataques coordinados.
El término «Mirai» proviene del idioma japonés y se traduce como «futuro». Fue creado por un estudiante de programación y seguridad informática llamado Paras Jha, junto con otros dos colaboradores. La botnet Mirai se diseñó para buscar dispositivos vulnerables que aún utilizaban las contraseñas predeterminadas o débiles y luego infectarlos para formar parte de su red.
Una vez que los dispositivos eran infectados, se convertían en «bots» controlados por el servidor central de la botnet, lo que permitía a los atacantes utilizarlos para lanzar ataques DDoS. Estos ataques consisten en inundar un sitio web o servicio con una gran cantidad de tráfico desde múltiples dispositivos simultáneamente, lo que puede hacer que el servicio se sature y se vuelva inaccesible para los usuarios legítimos.
La botnet Mirai fue responsable de algunos de los ataques DDoS más grandes y perjudiciales registrados hasta esa fecha. Además, su código fuente se hizo público después de los ataques iniciales, lo que permitió que otros ciberdelincuentes crearan variantes y llevaran a cabo sus propios ataques.
Por: Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad.