El nuevo ransomware FairWare infecta a servidores con instancias Redis

Hace unos días se informaba de la detección de un nuevo ataque de ransomware que estaba borrando ficheros de servidores web. Así lo determinaron algunos ingenieros de compañías de seguridad que veían como algunos de los servidores afectados fueron hackeados a través del despliegue inseguro de la base de datos Redis.

Los foros de soporte no tardaron en comentar el hecho de que los atacantes colgaran una nota informativa sobre cómo procederían a limpiar los servidores web siempre que se procediera al pago de 2 bitcoins (cerca de 1.150 dólares), una vez más con prácticas de ransomware.

El miércoles, investigadores de la firma Duo Security informaron de un ataque similar contra servidores que alojan las bases de datos de acceso público Redis. Los atacantes se aprovecharon de configuraciones inseguras que seguían utilizando los valores por defecto para reemplazar la clave raíz SSH del servidor y apoderarse de ella. A continuación, utilizaron el acceso recién adquirido para eliminar varios directorios, incluyendo el directorio raíz web donde se almacenan las páginas web, dejando la nota con el rescate.

Como muchos sabrán, Redis es un motor de bases de datos en memoria que también puede ser utilizado como una base de datos persistente. Está escrito en código abierto ANSI C. Este tipo de bases de datos es muy utilizado en organizaciones por su alto rendimiento, muy superior si se compara al motor de otras bases de datos. Sus desarrolladores advierten que Redis está diseñado para ser visitada por los clientes de confianza, y no es una buena idea exponer la instancia directamente en Internet. Esta advertencia no ha podido evitar exponer 18.000 instalaciones directamente en la red, poniendo en riesgo los servidores web. Cerca de 13.000 de esas instalaciones Redis muestran signos de haberse visto afectadas por este nuevo ataque asociado también al ransomware

Con la modificación de la configuración Redis, los atacantes engañaron al software para reemplazar la clave de autenticación SSH de la cuenta root del servidor. Los investigadores de la firma Duo Security observaron que la nota adjunta sugiere que los archivos habrían sido cifrados y enviados a un servidor remoto, pero no hay indicios de que esto haya ocurrido. Es una práctica habitual del ransomware, el tratar de meter presión generando miedo a perder todos los archivos para siempre aunque realmente no lo hayan conseguido.

Ver información original al respecto en Fuente:
http://cso.computerworld.es/alertas/el-ransomware-fairware-infecta-a-servidores-con-instancias-redis

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies