Por lo menos, unas 59.000 redes IP han sido escaneadas, gracias a la campaña que han lanzado un grupo de hackers. Esta es una campaña de criptojacking que fue creada el 24 de noviembre. Y con la que se pretende ubicar plataformas Docker que tengan sus puntos finales de API expuestos en línea.
Esta información se obtuvo gracias a la publicación emitida por tecnología empresarial, ZDNet. El día 26 de noviembre. Donde además se indica, que esta campaña se inició para poder llegar a las instancias vulnerables de Docker. Porque llegando allí, podrán desplegar cripto-malware. Quienes serán los encargados de generar fondos para el grupo de hackers. A través, de la minería Monero.
Un nuevo Malware, está siendo instalado para minar criptomonedas.
¿Cómo y cuándo fue descubierto este ataque?
Este ataque, que ha sido identificado, como un escaneo masivo. Fue identificado el 25 de noviembre por la prestigiosa empresa de seguridad estadounidense de Internet Bad Packets LLC. Por eso su representante, el sr. Troy Mursch. Quien es además, su director de investigación y cofundador de Bad Packets LLC. Se encargó de notificar que la actividad de explotación dirigida a las instancias Docker expuestas. No es una actividad nueva y que aunque no se crea, es algo que ocurre con mucha frecuencia.
Ya que para el mes de marzo del año 2018. Se informó a través de la empresa de ciberseguridad Imperva. Que existían por lo menos, 400 servidores Docker, con fallo de la API, a los que se les podía acceder remotamente. Y que además, contenían programas mineros de Monero.
Además, Mursch, quien es la persona que descubrió esta campaña. Aseguro en sus declaraciones a ZDNet, que este grupo de hackers trabaja de la siguiente manera: una vez que logran identificar un host expuesto. Proceden a implementar el punto final de la API, ya que con ello pueden iniciar un contenedor del sistema operativo Alpine Linux. Que les permite ejecutar un comando que descarga y ejecuta un script Bash desde el servidor del atacante. Y tras esta operación, es posible la instalación de un «clásico minero de criptomonedas XMRRig».
¿han obtenido ganancias?
Tras la información suministrada por Mursch. Este afirma que los hackers han logrado minar 14.82 XMR. Tan solo en los pocos días que ha estado activa la campaña dirigida a Docker. Y además, Microsoft ya se ha manifestado indicando que, por lo menos 80.000 computadoras fueron infectadas ya por este Malware.
Recordemos que Docker es una herramienta de desarrollo, que fue creada y diseñada con el fin de poder simplificar los procesos de creación. Implementación y ejecución de software mediante el uso de contenedores.
Siendo además, los contenedores aquellos que permiten a los desarrolladores compactar una aplicación con todas las partes que son necesarias para que esta funciones. Entre estas partes tenemos: las bibliotecas.
Pero qué hacer, para evitar este ataque. Para evitar que este nuevo malware llegue a nosotros. Mursch recomienda a todos los usuarios que ejecutan instancias de Docker. Que se enfoquen en comprobar inmediatamente si están exponiendo sus puntos finales de API en Internet. Si esto está ocurriendo, que cierren los puertos y pongan fin a contenedores en ejecución no reconocidos.
