Nueva Botnet DreamBus dirigida a servidores Linux que ejecutan aplicaciones empresariales

A través de un informe publicado por la firma de seguridad Zscaler, se pudo conocer que esta nueva amenaza, “DreamBus”, es una variante de la botnet SystemdMiner, vista por primera vez a principios de 2019 ataca a aplicaciones ejecutadas en Linux.

Esta nueva botnet apunta a una serie de aplicaciones empresariales tales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH que funcionan a través de servidores Linux.

Si bien, algunas de estas aplicaciones han sido objetivo de ataques de fuerza bruta, otras han sido dirigidas utilizando comandos maliciosos enviados a endpoints de API expuestos o por medio de exploits para vulnerabilidades antiguas.

Botnet DreamBus

Este malware tiene una estructura modular con una tasa de detección baja lo que lo vuelve potencialmente peligroso. A la vez, tiene un comportamiento similar a un gusano, el cual logra propagarse a sistemas que no están directamente expuestos a internet escaneando rangos de subredes privados FRC 1918 en busca de sistemas vulnerables

Los investigadores de Zscaler detallaron que DreamBus utiliza técnicas para evitar su detección como la comunicación C2 con la botnet a través del nuevo protocolo DNS-over-HTTPS (DoH). Además, para evitar que el servidor C&C se caiga, DreamBus se alojó en la red Tor; a través de una dirección “.onion”. 

Una de las características principales de la botnet es la capacidad de extraer el minero de criptomonedas “XMRig Monero”, el cual se puede ejecutar para implementar otras cargas útiles para llevar a cabo actividades maliciosas del tipo ransomware ( robo de datos), por ejemplo.

Panorama

Gracias a la información obtenida por la investigación de Zscaler se puede esclarecer que esta nueva amenaza tiene origen y opera desde Rusia o Europa del Este. Asimismo, se alerta que aunque por el momento DreamBus se usa para la minería de criptomonedas, la capacidad de que el actor detrás de la botnet actualice y cambies sus actividades a unas más disruptivas como el Ransomware son bastantes altas.

Según Zscaler, el actor detrás de la nueva amenaza “innova y agrega nuevos módulos para comprometer más sistemas lanzando actualizaciones y arreglos. Es probable que el actor de amenazas detrás de DreamBus continúe operando en el futuro previsible, escondido detrás de TOR y sitios web de intercambio de archivos anónimos”.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Reforzar la seguridad de protocolos como el SSH, tomando medidas de reforzamiento de claves o el uso de llaves.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir malware
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad.
• Actualizar los equipos con Linux a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o archivo lo solicita.
• Disponer de sistemas IPS para detección de intrusos en los dispositivos perimetrales.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.