EternalRed

EternalRed y SambaCry son las designaciones de seguridad de información otorgadas a la vulnerabilidad CVE-2017-7494 que afecta a los sistemas basados en * nix. Más específicamente, estuvo presente en las versiones de Samba desde la 3.5.0 lanzada en 2010 hasta las versiones 4.6.4 / 4.5.10 / 4.4.14 del paquete cuando fue parcheado. Aunque la vulnerabilidad se asoció con el infame exploit EternalBlue , EternalRed se detectó por primera vez en la cadena de ataque de piratas informáticos que no entregaban amenazas de ransomware como WannaCry sino que lanzaban un minero de criptomonedas.

La vulnerabilidad permitió que una carga útil en forma de complemento de Samba recibiera superprivilegios. Sin embargo, los ciberdelincuentes tuvieron que adivinar la ruta completa a la carga útil eliminada, comenzando desde el directorio raíz. Si tiene éxito, los piratas informáticos proceden a prestar y ejecutar el archivo como parte del proceso del servidor Samba. Luego, el archivo se elimina, dejando que la carga útil funcione en la memoria del sistema comprometido por completo. Los investigadores observaron que las cargas útiles se entregarían a través de la vulnerabilidad EternalRed.

El primero se llamaba INAebsGB.so y llevaba un shell inverso que, cuando se iniciaba, le daba al atacante casi total libertad para ejecutar de forma remota cualquier comando de shell. En la práctica, los piratas informáticos podían descargar cualquier aplicación adicional de Internet y ejecutarla en el sistema comprometido o, si así lo deseaban, podían eliminar todos los datos del usuario simplemente.

La otra carga útil que explotó EternalRed es cblRWuoCc.so. Su objetivo principal es la entrega de CpuMiner , una herramienta de minería de criptomonedas de código abierto. La versión particular de cpuminer utilizada en el ataque se modificó para poder ejecutarse sin ningún parámetro adicional. Como resultado, entregó todas las monedas de criptomonedas generadas a la billetera de los piratas informáticos directamente. En cuanto a la moneda específica cblRWuoCc.so, se creó para minar Monero (XMR). Al rastrear la dirección de la billetera, los investigadores de ciberseguridad descubrieron que las monedas Monero entregadas aumentaron a un ritmo rápido. Desde una sola moneda el primer día de campaña hasta alrededor de cinco durante los períodos posteriores. Después de un mes de la actividad de criptominería, los piratas informáticos habían logrado acumular 98 monedas XMR, lo que equivalía a aproximadamente $ 5500 en ese momento.

Tendencias

Mas Visto

Cargando...