Operación Windigo, un malware que hizo estragos en la red
(Internacional) El Laboratorio de Investigación de ESET, junto con la colaboración de CERT-Bund y otros organismos, descubrieron una campaña cibercriminal que tomó el control de más de 25.000 servidores Linux y Unix, infectando a más de 500.000 equipos en todo el mundo. Según estimó la compañía, la región latinoamericana también se vio afectada llegándose a detectar 900 servidores en Brasil, 300 en México, más de 200 en Argentina y 200 en Chile.
El ataque, bajo el nombre de Operación Windigo, se infiltró en los servidores generando el envío de millones de e-mails de spam. El malware está conformado por sofisticados componentes que están diseñados para secuestrar servidores, infectar a los equipos que los visitan y robar información. De esta forma, una vez que los servidores son infectados, son capaces de enviar 35 millones de mensajes de spam con exploits kits o avisos publicitarios, que finalmente generarán la redirección de más de 500.000 usuarios de forma diaria.
“Windigo ha estado fortaleciéndose durante el último tiempo y en la actualidad sólo quedan 10.000 servidores bajo su control. Más de 35 millones de mensajes de spam se envían todos los días a cuentas de usuarios inocentes, logrando obstruir las bandejas de entrada y poniendo los sistemas informáticos en riesgo. A su vez, cada día más de medio millón de computadoras se exponen a la posibilidad de infección al visitar sitios web que han sido atacados por el malware depositado por Operación Windigo en el servidor web y que redirecciona a exploits kits maliciosos y anuncios publicitarios”, aseguró Marc-Étienne Léveillé, investigador de seguridad ESET.
APra evitar este tipo de amenaza, los investigadores recomiendan a los administradores de sistemas Unix y webmasters que ejecuten el siguiente comando que les dirá si su servidor está dañado: $ Ssh -G 2 > & 1 | grep -e ilegal -e indeterminado> / dev / null && echo “El sistema limpia ” | | echo “El sistema infectado”.
“El backdoor Ebury, desplegado por la operación Windigo, no explota una vulnerabilidad en Linux o OpenSSH. En su lugar, se instala manualmente por un atacante malicioso. Aunque las soluciones antivirus y la doble autenticación es común en las computadoras de escritorio, rara vez se utiliza para proteger servidores, haciéndolos vulnerables a robo de credenciales y a propagar malware fácilmente”, aclaró continuó Léveillé
Si los administradores descubren una infección de Windigo, la empresa aconseja limpiar la computadora afectada y volver a instalar el sistema operativo y el software. Ademas destaca el uso de contraseñas robustas y claves privadas, ya que las credenciales existentes pueden haber sido comprometidas.
