Es cierto que Linux no es el sistema operativo más utilizado en ordenadores a nivel doméstico, sin embargo, la mayoría de los servidores conectados a Internet sí que cuentan con este sistema operativo.
Por lo que, poco a poco, el interés de los piratas informáticos por linux está aumentando y, en poco tiempo, ha pasado de ser un sistema operativo seguro a ser casi tan vulnerable como sus rivales Windows y macOS en cuanto a software malicioso como el backdoor.
Recientemente, la empresa de seguridad ESET ha descubierto un nuevo malware que afecta tanto a servidores como a todo tipo de dispositivos Linux (especialmente del Internet de las Cosas) que, una vez logra infectar un dispositivo, brinda a los piratas informáticos control total sobre el mismo, dejando una puerta abierta para llevar a cabo todo tipo de actividades, por ejemplo, realizar ataques DDoS.
Este nuevo malware, llamado Rakos, cuenta con un bot que busca servidores SSH abiertos e intenta establecer conexión con ellos a través de la fuerza bruta.
De conseguirlo, instala el malware en el servidor o dispositivo de manera que ya quede infectado y bajo el control de estos piratas.
Cuando Rakos se instala en un sistema vulnerable, automáticamente habilita un servidor HTTP en la dirección “http://127.0.0.1:61314” que puede ser utilizado con distintos fines, aunque el principal de ellos es garantizar una ruta alternativa para distribuir las actualizaciones del malware a los sistemas infectados sin que durante el proceso el malware pueda quedar inutilizado.
Una vez que el servidor HTTP está en funcionamiento, Rakos comienza a recopilar todo tipo de información (usuarios, contraseñas, IPs, etc) que se encuentren en el equipo y la envía a un servidor C&C controlado por los piratas informáticos. También guarda varias copias de su archivo de configuración en el sistema para garantizar que sus dueños van a tener siempre acceso al equipo y no que, por un fallo, se pueda perder esta configuración.
Cómo podemos desinfectar nuestro sistema o dispositivo Linux de Rakos
La primera de las muestras de este malware es que crea un proceso llamado .javaxxx. Si tenemos este proceso en nuestro sistema es muy probable que estemos infectados por Rakos, por lo que, antes de continuar, es recomendable matar este proceso para detener la infección.
Como el malware no está configurado para que arranque automáticamente, sino que debe lanzarse manualmente, reiniciando el sistema el malware se detendrá igualmente, aunque seguiremos expuestos y es probable que, en poco tiempo, los piratas informáticos vuelvan a activar el malware.
Por ello, tanto si hemos sido infectados como si no, es recomendable cambiar la contraseña de nuestro servidor SSH por defecto por una más larga y segura ya que, de hacer esto, los piratas informáticos no tendrán ninguna forma de conseguir acceder de nuevo al sistema a través de este protocolo.
Como hemos dicho, al hacer uso de la fuerza bruta para lograr acceso remoto a los dispositivos, solo aquellos que utilicen contraseñas muy débiles terminarán siendo infectados.
Fuente:www.welivesecurity.com
#HackNic
Shadow77