Noticias
Operación Windingo: secuestro de miles de servidores Unix
Investigadores de la firma de seguridad ESET en colaboración con agencias como CERT-Bund (la Infraestructura Nacional para la Informática de Suecia) han descubierto una campaña cibercriminal conocida como Operación Windingo que ha tomado el control de 25.000 servidores Unix en todo el mundo para distribuir malware en medio millón de ordenadores.
Los complejos componentes del malware utilizados han sido diseñados para secuestrar servidores, infectar aquellos ordenadores que los visiten, un envío diario de 35 millones de correos de spam desde ellos y robo de información.
«Windigo se ha ido haciendo fuerte, pasando desapercibida por la comunidad de investigadores en seguridad durante más de dos años y medio, y actualmente dispone de 10.000 servidores bajo su control,” aseguran los investigadores de ESET.
«Alrededor de 35 millones de mensajes de spam se envían cada día a cuentas de usuarios inocentes, saturando las bandejas de entrada y poniendo los sistemas en riesgo. Peor aún, cada día alrededor de medio millón de ordenadores se arriesgan a ser infectadas cuando visitan sitios webs que han sido infectados con un malware para servidores colocado por la Operación Windigo y que redirecciona a los usuarios hacia kits de exploits maliciosos y anuncios», explican en un detallado análisis técnico, presentando todo lo que han averiguado en sus investigaciones y analizando el malware.
El documento (en .pdf descargable también proporciona una guía para averiguar si el sistema que utilizamos ha sido infectado e instrucciones para eliminar el código malicioso. En concreto recomiendan a los administradores de sistemas Unix y webmasters que ejecuten el siguiente comando, que les permitirá averiguar si su servidor se encuentra comprometido o no:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo «System clean» || echo «System infected»
Si los administradores de sistemas descubren que sus sistemas están infectados, se les aconseja formatear los ordenadores afectados y reinstalar de nuevo tanto el sistema operativo como el software utilizado. Resulta esencial que se utilicen contraseñas nuevas y claves privadas, ya que las credenciales utilizadas hasta ese momento pueden considerarse comprometidas por la Operación Windingo.