FreakOut la botnet que ataca servidores Linux

Un post recientemente aparecido en el website de seguridad informáica The Hacker News, nos cuenta que se ha descubierto una campaña de malware en curso que explota vulnerabilidades reveladas recientemente en dispositivos de almacenamiento conectados a la red, más conocidos como NAS, que utilizan el sistema operativo Linux para una vez vulneradas incorporar estas máquinas a una botnet IRC para lanzar ataques distribuidos de denegación de servicio (DDoS) y minar la criptomoneda Monero .

Los ataques implementan una nueva variante de malware llamado «FreakOut» al aprovechar fallas críticas corregidas en Laminas Project (anteriormente Zend Framework) y Liferay Portal, así como una debilidad de seguridad sin parchar en los NAS de TerraMaster, según un nuevo informe de la empresa de seguridad informática Check Point Research, que fue publicado el lunes pasado (19 de enero).

El malware aparenta ser el trabajo de un conocido grupo de ciberdelincuentes que se identifica con los alias de Fl0urite y Freak en los forums HackForums y Pastebin al menos desde el año 2015. Los investigadores dijeron que las fallas explotadas por estos ciberdelincuentes son: CVE-2020-28188, CVE-2021-3007. y CVE-2020-7961. Basado en dichas vulnerabilidades pueden inyectar y ejecutar comandos maliciosos en un servidor Linux que tenga dichas vulnerabilidades sin parchar.

Independientemente de las vulnerabilidades que son usadas para acceder al servidor Linux, el objetivo final del atacante parece ser descargar y ejecutar un script de Python llamado «out.py» utilizando Python 2, versión de Python que llegó al final de su vida útil el año pasado, lo que implica que el actor de la amenaza está confiando en la posibilidad de que los dispositivos de la víctima tengan instalada esta versión obsoleta.

Los investigadores de seguridad, observaron el primer ataque que intentaba la descarga del archivo «out.py» el 8 de enero de este año.

De hecho, tres días después, la empresa de ciberseguridad F5 Labs advirtió sobre una serie de ataques dirigidos a dispositivos NAS de TerraMaster (CVE-2020-28188) y Liferay CMS (CVE-2020-7961) en un intento de difundir el bot IRC N3Cr0m0rPh y minar la criptomoneda Monero.

Una botnet de IRC es una colección de máquinas infectadas con malware que se pueden controlar de forma remota a través de un canal de IRC para ejecutar comandos maliciosos.

En el caso de FreakOut, los dispositivos comprometidos están configurados para comunicarse con un servidor de comando y control (C2) codificado desde donde reciben mensajes de comando para ejecutar.

El malware también viene con amplias capacidades que le permiten realizar varias tareas, incluido el escaneo de puertos, la recopilación de información, la creación y el envío de paquetes de datos, la detección de redes y ataques de denegación de servicio distribuidos DDoS (por sus siglas en inglés).

Además, los servidores comprometidos pueden ser utilizados como parte de una operación de botnet para la minería de criptomonedas, extendiéndose lateralmente a través de la red y lanzando ataques contra objetivos externos mientras se hace pasar por la víctima.

Con cientos de dispositivos ya infectados en pocos días después del lanzamiento del ataque, advierten los investigadores, FreakOut aumentará a niveles más altos en el futuro cercano.

Por su parte, se espera que la empresa china TerraMaster parchee la vulnerabilidad en la versión 4.2.07 de sus sistema operativo para NAS. Mientras tanto, se recomienda que los usuarios actualicen a Liferay Portal 7.2 CE GA2 (7.2.1) o posterior y laminas-http 2.14.2 para mitigar el riesgo asociado con las vulnerabilidades que explota esta botnet.