25,000 Servidores Linux y Unix han sido comprometidos en la Operación Windigo

Recientemente, varios investigadores en seguridad presentaron un documento que describe una operación larga y compleja, denominada “Operación Windigo”. Desde 2011, año en que comenzó esta campaña, más de 25,000 servidores Linux y Unix han sido comprometidos para obtener las credenciales Secure Shell (SSH) con el fin de redireccionar a los usuarios web hacia contenido malicioso y para distribuir spam. Organizaciones muy conocidas, como cPanel y Fundación Linux han sido confirmadas como víctimas. Los sistemas operativos que han sido blanco de estos ataques incluyen a OS X, OpenBSD, FreeBSD, Microsoft Windows y varias distribuciones de Linux. El documento señala que Windigo es responsable de enviar diariamente un promedio de 35 millones de mensajes spam. Adicionalmente, más de 700 servidores Web han redireccionado a más de 500,000 visitantes diariamente hacia contenidos maliciosos.

Este documento enlista tres principales componentes maliciosos (detección de nombres de ESET):

• Linux/Ebury – un backdoor OpenSSH que se utiliza para controlar servidores y robar credenciales.

• Linux/Cdorked – un backdoor HTTP utilizado para redireccionar tráfico Web.

• Perl/Calfbot – un script Perl utilizado para enviar spam.

Las consistentes campañas de los agresores se han convertido en algo común. Con los recursos adecuados, motivación y deseo, quienes atacan pueden obtener recompensas importantes por estas acciones. Dichas actividades tienen el objetivo de atacar organizaciones específicas para identificar y filtrar información delicada, pero el objetivo nuevamente ha sido económico, a través de redirecciones Web, spam y descargas automáticas.

Protección de Symantec

Los clientes de Symantec están protegidos contra el malware utilizado en la Operación Windigo con las siguientes firmas:

AV

IPS

Más información sobre la investigación acerca de la Operación Windigo está disponible en el blog de ESET.

Leave a Reply