La nueva versión del botnet cambia el paradigma de ataques DDoS a minería.
Especialistas de Aqua Security descubrieron una nueva variante del botnet Gafgyt, que ataca activamente servidores con contraseñas SSH débiles en entornos de nube. El malware utiliza la potencia de procesamiento de los GPUs de los dispositivos comprometidos para minar criptomonedas.
El botnet Gafgyt (también conocido como BASHLITE, Lizkebab, Torlus) ha estado activo desde 2014 y se hizo famoso por su capacidad para explotar contraseñas débiles o predeterminadas para tomar el control de enrutadores, cámaras y grabadoras de video DVR. El arsenal de Gafgyt también incluye herramientas para explotar vulnerabilidades conocidas en dispositivos Dasan, Huawei, Realtek, SonicWall y Zyxel. Los dispositivos capturados se convierten en parte del botnet, capaz de organizar ataques DDoS.
La nueva versión del botnet Gafgyt utiliza fuerza bruta para hackear servidores SSH con contraseñas débiles, tras lo cual lanza mineros de criptomonedas utilizando el módulo «systemd-net». Antes de esto, el botnet termina la ejecución de programas maliciosos competidores que ya se estaban ejecutando en la máquina comprometida, para monopolizar los recursos del sistema.
Además, Gafgyt utiliza un gusano escrito en el lenguaje Go, que escanea internet en busca de servidores mal protegidos y los infecta, ampliando así el alcance del botnet. El gusano escanea SSH, Telnet, así como credenciales asociadas con servidores de juegos y entornos en la nube de AWS, Azure y Hadoop.
El objetivo principal de los atacantes es ejecutar el minero XMRig, que mina la criptomoneda Monero. En este caso, los atacantes utilizan las banderas --opencl y --cuda para aprovechar la potencia de procesamiento de los GPUs.
La nueva versión del botnet se diferencia de las anteriores y está dirigida a entornos de nube con CPUs y GPUs potentes, en lugar de centrarse en ataques DDoS. Según Shodan, hay más de 30 millones de servidores SSH accesibles en internet, lo que subraya la necesidad de tomar medidas para protegerse contra ataques de fuerza bruta y posibles hackeos.
Es notable que después del inicio de la pandemia, entre el 14 y el 31 de diciembre de 2020, especialistas identificaron un total de 18,000 hosts únicos y alrededor de 900 cargas útiles únicas. Las infecciones más comunes fueron de las familias de malware Gafgyt y Mirai, que representaron el 97% de las 900 cargas útiles.