La leyenda de Wendigo transportada a una botnet.

La botnet Windigo tuvo como víctima principal miles de ordenadores Linux, en su mayoría servidores. Muchos de estos servidores alojaban páginas web que eran visitadas por millones de usuarios a diario, hecho que facilitaba el crecimiento de la botnet.

No sólo maquinas Linux fueron infectadas, usuarios de Windows, Mac e incluso IPhone reportaron problemas relacionados con este malware. Los atacantes utilizaban servidores web secuestrados para infectar equipos con sistemas operativos Windows mediante técnicas de spam y adware. Los usuarios de IPhone afectados reportaron problemas relacionados con redirecciones web a sitios de contenido pornográfico.

Investigadores de ESET, CERT-Bund, el CERN y otras agencias fueron las primeras organizaciones que descubrieron la operación cibercriminal que utilizaba Windigo como arma para tomar decenas de miles de equipos.

Se calcula que la botnet lleva en funcionamiento desde 2011, afectando a compañías como Cpanel y kernel.org, esta última, encargada del repositorio oficial del código fuente de Linux. Según los cálculos la botnet ha infectado alrededor de 25.000 máquinas UNIX afectando a países como Estados Unidos, Alemania, Francia, Italia y Reino Unido.

Como muchas de estas redes zombi, su objetivo principal es el robo de credenciales y la propagación masiva de spam a través de las maquinas infectadas. Este último método era la forma principal para rentabilizar las actividades de la botnet. Windigo es responsable de enviar  de media más de 35 millones de mensajes diarios, afectando a más de 600 servidores web.

A la hora de secuestrar ordenadores, Windigo utilizaba una variedad de malware muy sofisticada que incluía herramientas como Linux/Ebury, utilizado para crear una puerta trasera en OpenSSH, Linux/Cdorked, utilizado para distribuir malware en usuarios Windows a través de sitios web infectados, Linux/Onimiki, utilizado para redirigir el trafico web, Perl/Calfbot, utilizado para el envío masivo de Spam, Win32/Glubteba, proxy genérico para Windows y Win32/Boaxxe, programa que genera clics automáticos.

Si sospechas que alguno de tus sistemas puede estar infectado por esta botnet, se recomienda la reinstalación del sistema operativo y renovación de todas las credenciales utilizadas en aquellos sistemas que pueden considerarse comprometidos.

Muchas de las organizaciones que trabajaron en la investigación enviaron administradores de sistemas UNIX y webmaster el siguiente comando para verificar si sus sistemas estaban infectados, $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…

AUTOR

Acerca de Fran Ramirez

Técnico superior en administración de sistemas informáticos / Certificado Cisco CCNA / Auditor de seguridad informática /

Categoría

Cyber

Etiquetas

, , , , ,