Servidores Linux están siendo infectados con nueva variante de ransomware

Un nuevo tipo de ransomware ha estado infectando servidores a través de tarjetas IPMI no seguras

Especialistas en ciberseguridad y hacking ético del Instituto Internacional de Seguridad Cibernética han reportado la aparición de una nueva variante de ransomware. El programa malicioso, llamado JungleSec, se ha propagado en los sistemas de las víctimas a través de las tarjetas de Interfaz de Control de Plataformas Inteligentes (IPMI). Según los reportes, este ransomware fue descubierto recientemente, a mediados del mes de noviembre.

El IPMI es un conjunto de especificaciones de interfaz de computadora para un subsistema de computadora autónomo que proporciona las funciones de administración y monitoreo de forma independiente al CPU, el firmware (BIOS o UEFI) y el sistema operativo del host. Está integrado en las placas base del servidor o se instala como una tarjeta adicional y permite la administración remota de la computadora.

Según los reportes de los expertos en ciberseguridad, una interfaz IPMI mal configurada podría permitir a un atacante acceder de forma remota a un sistema y controlarlo utilizando las credenciales de acceso predeterminadas. Gracias a las evidencias recolectadas por los expertos en ciberseguridad se descubrió que los atacantes instalaron JungleSec utilizando la interfaz IPMI del servidor comprometido.

“En uno de los casos de infección que analizamos, los administradores de sistemas no cambiaron las contraseñas predeterminadas de la interfaz IPMI. Otra de las víctimas afirmaba que la función de usuario administrador se encontraba deshabilitada, pero de algún modo los atacantes consiguieron acceso a través de alguna posible vulnerabilidad”, mencionan los expertos.

Los expertos señalaron que una vez que el usuario obtuviera acceso al servidor, los atacantes reiniciarían la computadora en modo de usuario único para obtener acceso raíz, luego descargaron y compilaron el programa de cifrado ccrypt.

Después de cifrar los archivos, los atacantes envían la nota de rescate que contiene las instrucciones para realizar la transferencia y recuperar los archivos.

Los atacantes usan la dirección email junglesec@anonymousspeech[.]com para comunicarse con las víctimas y exigir 0.3 Bitcoin. Acorde a los reportes de expertos en ciberseguridad, algunas víctimas han realizado las transferencias, pero nunca recibieron respuesta de los hackers. Los expertos recomiendan proteger la interfaz IPMI cambiando la contraseña predeterminada y configurando las ACL que permiten que solo ciertas direcciones IP accedan a la interfaz IPMI.