Cuando todos pensaban que los momentos más críticos del ataque producido por el ransomware WannaCry estaban ya controlados gracias a las últimas actualizaciones emitidas por Microsoft, hackers encontraron vulnerabilidades en el protocolo Samba. Así lograron infectar cientos de servidores con distros (distribuciones) Linux. Hasta hace algunos años muchas distribuciones GNU gozaban de una reputación de invulnerabilidad perfecta. De hecho, entre el 2010 y el 2017 la cantidad de servidores Linux que se distribuyen globalmente ha aumentado considerablemente y con la aparición de tecnologías como el internet de las cosas se convierten en un objetivo principal.
Utilizando phishing, técnicas de ingeniería social y navegación en páginas web maliciosas, los atacantes lanzan un Shell inverso el cual proporciona el acceso remoto a la máquina, ya en esta instancia puede cifrar los contenidos del disco duro y hasta las particiones. Sin embargo, los nuevos atacantes están utilizando este tipo de ramsomeware para instalar algunos scripts como “CblRWuoCc.so”, el cual ofrece un backdoor que corre procesos en sleep y que puede instalar software para minería de criptomonedas como cpuminer.
En algo más de 2 semanas se ha generado poco más de un millón de dólares en minería utilizando el hardware de cientos de servidores en el mundo. El aseguramiento y actualización del servicio smb.d es indispensable para evitar posibles ataques, para ello es imperativo realizar buenas prácticas como administrador para asegurar la validación de usuarios y contraseñas teniendo en cuenta los cuatro niveles de seguridad que utiliza Samba: share, user, server y domain.
Las versiones de Samba anteriores a la 3.0.7 son susceptibles a dos ataques remotos de denegación de servicio (remotos de denegación de servicio (DoS).
– Un bug en el código del servidor "smbd" permite que un usuario remoto, sin necesidad de autentificarse, lance un número de instancias, provocando un consumo de recursos ilimitado, que puede ocasionar la propia caída de la máquina servidor.
– Un bug en el código del servidor "nmbd" permite que un usuario remoto mate el servicio, impidiendo el correcto funcionamiento de Samba.
Para nadie es un secreto que la minería de criptomonedas pueden ser una inversión costosa, ya que requiere una enorme cantidad de poder computacional, pero este malware facilita a los ciberdelincuentes la utilización de recursos informáticos de los sistemas comprometidos para obtener beneficios.