Recientemente investigadores
descubrieron que hay un nuevo botnet gigante que ha comprometido a más de
40.000 servidores, módems y dispositivos conectados a internet que corresponden
a numerosas organizaciones en el mundo.
Se conoció como “Prowli” la
campaña que ha generado la distribución del malware y que a su vez inyecta
códigos maliciosos para apropiarse de servidores y sitios web de todo el mundo
aplicando múltiples técnicas de ataque, incluyendo el uso de exploits,
contraseñas brutas y abuso de configuraciones débiles.
Según la organización que
llevó acabo la investigación, más de 9 mil organizaciones de todos los sectores
como el de educación, financiero e instituciones gubernamentales fueron
víctimas de este ataque.
Los atacantes están usando los
equipos y sitios web infectados para extraer criptomonedas o ejecutar script
que los redirecciona a sitios web maliciosos.
Investigadores explicaron que “Los
dispositivos comprometidos se encontraron infectados con un minero de
criptomoneda Monero (XMR) y el gusano "r2r2", un malware escrito en
Golang que ejecuta ataques de fuerza bruta SSH desde los dispositivos
infectados, permitiendo que el malware Prowli tome el control nuevo
dispositivos”.
Dispositivos
y servicios infectados por el malware Prowli:
Servidores Drupal y WordPress CMS.
Joomla! servidores que ejecutan la extensión K2.
Servidores de respaldo que ejecutan el software HP Data Protector.
Módems DSL.
Servidores con un puerto SSH abierto.
Instalaciones PhpMyAdmin.
Cajas NFS.
Servidores con puertos SMB expuestos.
Dispositivos vulnerables de internet de la cosa (IoT).
Se recomienda verificar que
sus sistemas operativos estén actualizados, y utilizar contraseñas seguras para
sus dispositivos.
Fuente: The Hacker News
