Servidores de la plataforma de weblogs fantasma pirateados e infectados con crypto-miner


Logo fantasma

Imagen: Fantasma

Actualmente se está llevando a cabo una seria campaña de piratería, y decenas de empresas ya han sido pirateadas, ZDNet ha aprendido de investigadores de seguridad que vigilan los ataques.

Durante las últimas 24 horas, los hackers han estado escaneando en masa Online para sal, un tipo de application utilizado para administrar y automatizar servidores dentro de centros de datos, clústeres de servidores en la nube y redes empresariales.

Los atacantes han estado explotando dos errores recientemente parcheados para obtener acceso a los servidores de Salt y luego implementar un minero de criptomonedas.

LineageOS hackeado. Ahora fantasma

Hoy temprano, ZDNet informó que los piratas informáticos lograron violar los servidores de LineageOS, un sistema operativo móvil.

Un segundo ataque importante surgió unas horas después de nuestro informe inicial. La segunda víctima es Ghost, una plataforma de weblogs basada en Node.js, creada y publicitada como una alternativa más easy a WordPress.

En una página de estado, el equipo de desarrolladores de Ghost dijo que detectaron una intrusión en sus sistemas de infraestructura de again-conclusion alrededor de la 1:30 am UTC.

Los desarrolladores de Ghost dijeron que los piratas informáticos utilizaron CVE-2020-11651 (un bypass de autenticación) y CVE-2020-11652 (un recorrido de directorio) para tomar el handle de su servidor maestro Salt.

La compañía de weblogs dijo que si bien los piratas informáticos tenían acceso a los sitios Ghost (Pro) y los servicios de facturación de Ghost.org, no robaron ninguna información financiera o credenciales de usuario.

En cambio, Ghost dijo que los piratas informáticos instalaron un minero de criptomonedas.

«El intento de minería aumentó las CPU y rápidamente sobrecargó la mayoría de nuestros sistemas, lo que nos alertó sobre el problema de inmediato», dijeron los desarrolladores de Ghost.

Al igual que LineageOS, los desarrolladores de Ghost eliminaron todos los servidores, parchearon sistemas y volvieron a implementar todo en línea después de unas pocas horas.

Se espera que las pandillas de ransomware exploten errores en los próximos días

Un investigador de seguridad que solicitó que no usemos su nombre para este informe dijo que los ataques probablemente se llevaron a cabo con un escáner de vulnerabilidad automatizado que detectó instalaciones anticuadas de Salt y luego explotó automáticamente los dos errores para instalar el malware de cripto-minería.

«Es muy posible que el actor de la amenaza detrás de estos escaneos ni siquiera sepa el tipo de compañías que están violando en este momento», dijo el investigador a ZDNet en un chat de Twitter. «Estamos viendo servidores Salt sin parches en bancos, proveedores de alojamiento internet y compañías Fortune 500».

«Muy pronto las pandillas de ransomware comenzarán a buscar este error, y veremos el caos, con el ransomware implementado en algunos objetivos enormes».

Algunas de estas intrusiones se informan actualmente en un hilo de GitHub, con informes similares de un atacante que planta un minero de criptomonedas en sistemas de sal pirateados.

Saltstack, la compañía detrás del software package Salt, parches publicados a principios de esta semana para abordar las dos vulnerabilidades. Se recomienda a las empresas parchear los servidores Salt o protegerlos detrás de un firewall. Actualmente hay alrededor de 6,000 servidores Salt expuestos en World-wide-web.



Enlace a la noticia initial