OPERATION WINDIGO: malware usado para atacar alrededor de 500.000 ordenadores diariamente utilizando 25.000 servidores Unix secuestrados por un troyano

Madrid –18 de marzo de 2014. Los investigadores de ESET® en colaboración con CERT-Bund, la Infraestructura Nacional para la Informática de Suecia, así como también otras agencias, han descubierto una extendida campaña cibercriminal que ha tomado el control de alrededor de 25.000 servidores Unix en todo el mundo.

Este ataque, que ha sido nombrado como “Operación Windigo” por expertos en seguridad, ha tenido como consecuencia que los servidores infectados hayan enviado millones de correos spam. Los complejos componentes del malware utilizados han sido diseñados para secuestrar servidores, infectar aquellos ordenadores que los visiten y robar información.

Entre las víctimas de la “Operación Windigo” se encuentran cPanel y kernel.org

El equipo de investigadores de ESET que descubrió Windigo ha publicado hoy un detallado análisis técnico, presentando todo lo que han averiguado en sus investigaciones y analizando el malware. Este documento también proporciona una útil guía para averiguar si el sistema que utilizamos ha sido infectado e instrucciones para eliminar el código malicioso.

OPERATION WINDIGO: haciéndose fuerte durante casi tres años

Mientras que algunos expertos han detectado algunos elementos de la campaña cibercriminal de Windigo, el tamaño y la complejidad de esta operación ha permanecido oculto durante mucho tiempo por la comunidad encargada de la seguridad informática.

Windigo se ha ido haciendo fuerte, pasando desapercibida por la comunidad de investigadores en seguridad, durante más de dos años y medio, y actualmente dispone de 10.000 servidores bajo su control,” asegura el investigador de ESET Marc-Étienne Léveillé. “Alrededor de 35 millones de mensajes de spam se envían cada día a cuentas de usuarios inocentes, saturando las bandejas de entrada y poniendo los sistemas en riesgo. Peor aún, cada día alrededor de medio millón de ordenadores se arriesgan a ser infectadas cuando visitan sitios webs que han sido infectados con un malware para servidores colocado por la Operación Windigo y que redirecciona a los usuarios hacia kits de exploits maliciosos y anuncios.”

Curiosamente, mientras los sitios web afectados por Windigo intenten infectar los sistemas Windows con malware utilizando un kit de exploits, a los usuarios de Mac se les muestra normalmente anuncios para sitios de citas online y a los poseedores de iPhone se les redirecciona hacia contenido pornográfico.

Llamamiento a los administradores de sistemas para que tomen acciones contra Windigo

Alrededor del 60% de los sitios web de todo el mundo funcionan en servidores Linux y los investigadores de ESET están realizando un llamamiento a los webmasters y administradores de sistemas para que revisen sus sistemas y comprueben si se han visto comprometidos.

Tanto los webmasters como el personal dedicado a TI ya tienen suficientes quebraderos de cabeza y tareas pendientes como para añadir un problema más, aunque sea tan importante como este. Todo el mundo quiere ser un buen usuario de Internet y esta es tu oportunidad para poner de tu parte y ayudar a proteger otros usuarios de Internet” afirma Léveillé. “La última cosa que uno desearía es ser parte del problema, añadiéndose a la propagación de malware y spam. Unos pocos minutos pueden ser la diferencia y permitir que seas parte de la solución.”

Cómo averiguar si tu servidor ha caído en las garras de Windigo

Los investigadores de ESET, quienes pusieron el nombre de Windigo a esta amenaza tomando como referencia a una criatura mítica del folclore de los nativos americanos Algonquinos debido a su naturaleza caníbal, recomiendan a los administradores de sistemas Unix y webmasters que ejecuten el siguiente comando, que les permitirá averiguar si su servidor se encuentra comprometido o no:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Solución drástica para las víctimas de Windigo

El backdoor Ebury que se instala en la operación de cibercrimen Windigo no se aprovecha de una vulnerabilidad en Linux u OpenSSH”, comenta Léveillé. “En lugar de eso, es un atacante quien la instala. El hecho de que hayan sido capaces de realizar esta operación en decenas de miles de servidores diferentes es preocupante. Mientras que los antivirus y el doble factor de autenticación son medidas de seguridad comunes en los ordenadores de escritorio, raramente se utilizan para proteger a los servidores, haciéndolos vulnerables al robo de credenciales y a una fácil instalación de malware.”

Si los administradores de sistemas descubren que sus sistemas están infectados, se les aconseja formatear los ordenadores afectados y reinstalar de nuevo tanto el sistema operativo como el software utilizado. Resulta esencial que se utilicen contraseñas nuevas y claves privadas, ya que las credenciales utilizadas hasta ese momento pueden considerarse comprometidas.

Para un mayor nivel de protección de cara al futuro, tecnologías como el doble factor de autenticación deberían ser consideradas.

Sabemos que formatear tu servidor y empezar de nuevo desde cero resulta una solución muy drástica, pero si los atacantes han robado o averiguado las credenciales del administrador y han eliminado el acceso a tus servidores, no se puede tomar ningún riesgo“, explica Léveillé. “Desgraciadamente, algunas de las víctimas con las que hemos contactado sabían que estaban infectadas pero no han hecho nada para limpiar sus sistemas, poniendo en peligro a más usuarios de Internet.”

Se recuerda a todos los usuarios que nunca deberían utilizar o elegir contraseñas que sean fáciles de averiguar.

Información adicional

ESET ha publicado una investigación detallada sobre la campaña de cibercrimen de la “Operación windigo” y los varios componentes que forman esta amenaza.

Se puede descargar el informe completo desde welivesecurity.com/windigo.

Puede seguirse el desarrollo de esta historia en Facebook, Google+ o Twitter utilizando el hashtag #windigo.