Mumblehard, un botnet que ataca a los servidores que corren Linux, se cerró un año después de que fuera descubierto. De acuerdo con ESET, empresa seguridad de TI, “Con únicamente una dirección IP que actuaba como el servidor de comando y control (C&C) para el backdoor Mumblehard, y sin mecanismo de apoyo, bastó con apoderarse de esa dirección IP para detener las actividades maliciosas de este botnet”. El malware ha infectado a más de 4,000 máquinas Linux, pero probablemente ha infectado a un número mucho mayor durante los cinco años que se ha sabido de su existencia.
Mumblehard es la creación de desarrolladores experimentados y altamente calificados, que incluye dos componentes principales: una backdoor y un spam daemon (un programa que se ejecuta en segundo plano y que envía grandes cargas de correo basura). Están escritos en Perl, un lenguaje de programación que puede utilizarse para una gran variedad de tareas, y son ofuscados dentro de un “paquete” a la medida que lo ejecuta. Los servidores de comando que coordinaban las operaciones de las máquinas comprometidas también pod{ian enviar mensajes a Spamhaus, el cual utiliza una lista de bloqueo compuesta (CBL) en tiempo real que es mantenida por el servicio anti-spam. Después solicita quitar de la lista las direcciones IP basadas en Mublehard. El resultado es una infección sigilosa que hace a estos componentes parte de una red renegada que llena al Internet con spam y puede utilizarse para otros propósitos nefastos.
La compañía colaboró con las fuerzas de seguridad de Estonia para cerrar el botnet. En febrero de 2016, se apoderaron de la dirección IP que pertenecía al servidor de comando, lo que hizo posible cerrar el botnet. Después de investigar el servidor de control del atacante, descubrieron las máquinas infectadas conectadas a máquinas benignas que eran operadas por el grupo.
Al final, aún no está claro de qué manera Numblehard pudo sorprender a sus víctimas. Sin embargo, inicialmente se sospechó que el malware explotaba las vulnerabilidades de sistemas de gestión de contenidos como WordPress, y otros plug-ins asociados a ellos – pero esta teoría aún no se confirma. El número de máquinas infectadas supuestamente está reduciéndose a medida que los sistemas comprometidos son desinfectados.
Leave a Reply