Nuestro Broker
Puntos Importantes:
- Kubernetes es una plataforma de código abierto utilizada para el manejo de aplicaciones en contenedores.
- La firma de seguridad Palo Alto Networks reveló la detección de un nuevo malware, llamado Hildegard, dirigido a utilizar recursos de clústeres de Kubernetes para minar de manera oculta la criptomoneda Monero (XMR).
- Los investigadores de la Unidad 42 de Palo Alto Networks explicaron que es probable un nuevo ataque a mayor escala, aprovechando los abundantes recursos informáticos de Kubernetes para la minería de criptomonedas maliciosa, así como también para extraer datos confindenciales de miles de aplicaciones alojadas en contenedores.
Este 3 de febrero, investigadores de seguridad cibernética divulgaron la detección de un nuevo malware dirigido a clústeres de Kubernetes, con el objetivo de sembrar un minero malicioso de la criptomoneda Monero (XMR). Así lo dio a conocer la firma de seguridad cibernética Palo Alto Networks, a través de una publicación en su sitio web.
La Unidad 42 de Palo Alto Networks bautizó a este nuevo malware con el nombre de Hildegard, debido a que así se identificaba «el usuario de la cuenta tmate que utilizó el malware«. Los investigadores de la firma de ciberseguridad detallaron que esta nueva campaña de malware fue detectada el mes pasado, cuyos blancos de ataque fueron clústeres de Kubernetes.
Cabe destacar que el proyecto Kubernetes fue liberado en 2014 por Google, y consiste en «una plataforma portable y extensible de código abierto para administrar cargas de trabajo y servicios«. Según los investigadores de Palo Alto Networks, los ciberatacantes que operan Hildegard explotaron una vulnerabilidad detectada en un kubelet, elemento que forma parte de la arquitectura de Kubernetes, encargado del estado de ejecución de cada nodo de la red.
«Los atacantes obtuvieron acceso inicial a través de un kubelet mal configurado que permitía el acceso anónimo. Una vez que se estableció en un clúster de Kubernetes, el malware intentó extenderse por tantos contenedores como fuera posible y finalmente lanzó operaciones de criptojacking. Basándonos en las tácticas, técnicas y procedimientos (TTP) que utilizaron los atacantes, creemos que esta es una nueva campaña de TeamTNT«.
Unidad 42 de Palo Alto Networks.
Desde Palo Alto Networks explicaron que esta campaña de ataques con Hildegard «es uno de los ataques más complicados dirigidos a Kubernetes» y, además, es el malware de los ciberatacantes de TeamTNT con más funciones detectadas hasta ahora.
En este sentido, los especialistas en seguridad cibernética indicaron que el mayor impacto que tiene Hildegard es el secuestro de recursos para extracción de criptomonedas y la denegación de servicio (DoS). «La operación de criptojacking puede agotar rápidamente los recursos de todo el sistema e interrumpir todas las aplicaciones del clúster«, comunicó la firma de ciberseguridad.
Extracción maliciosa de Monero (XMR) con XMRig
Cabe destacar que los investigadores descubrieron que la operación de minería maliciosa de criptomonedas de Hildegard consiste en la extracción sin consentimiento de la criptomoneda Monero (XMR), a través del minero XMRig. El criptojacking o minería de criptomonedas maliciosa es una forma de explotar recursos de terceros de forma oculta y no autorizada para minar monedas criptográficas; este tipo de amenaza no sólo puede afectar a dispositivos móviles y computadoras, sino también a navegadores web y hasta servidores de red.
El proceso de minería detectado por los miembros de Palo Alto Networks ya llevaba, hasta el momento en que los investigadores difundieron la información, un poder de hash o tasa de procesamiento (hashrate) de unos 25,05 KH, y una dirección asociada al proceso ya tenía acumulado unos 11 XMR, equivalentes a unos 1.500 USD, aproximadamente.
A pesar de todo lo anterior, los expertos en ciberseguridad de la Unidad 42 consideraron que esta campaña con el malware Hildegard apenas está comenzando, ante los indicios de que aún está en desarrollo. Los investigadores llegaron a esa conclusión luego de observar que gran parte de la infraestructura de Hildegard apenas ha estado en línea desde hace un mes, y que, al igual que su código base, aparentemente está incompleta.
De igual forma, la Unidad 42 de Palo Alto Networks advirtió de un posible ataque a mayor escala con Hildegard, extrayendo información confindecial de miles de aplicaciones ejecutadas en clústeres de Kubernetes:
«No ha habido ninguna actividad desde nuestra detección inicial, lo que indica que la campaña de amenazas aún puede estar en la etapa de reconocimiento y armamento. Sin embargo, conociendo las capacidades de este malware y los entornos de destino, tenemos buenas razones para creer que el grupo pronto lanzará un ataque a mayor escala. El malware puede aprovechar los abundantes recursos informáticos en los entornos de Kubernetes para el cryptojacking y potencialmente extraer datos confidenciales de decenas a miles de aplicaciones que se ejecutan en los clústeres«.
Unidad 42 de Palo Alto Networks.
El mes pasado, la compañía taiwanesa QNAP Systems advirtió acerca de una campaña de malware dirigida a sus dispositivos, la cual utiliza un nuevo malware, denominado Dovecat, que es capaz de instalar mineros de Bitcoin (BTC) sin el consentimiento de los dueños de los equipos. Esta nueva amenaza tiene entre sus blancos de ataque a su línea de dispositivos de almacenamiento conectados a la red (QNAP NAS), y la alerta de la empresa fue emitida luego de recibir informes de usuarios afectados por este software malicioso.
Imagen destacada por Gerd Altmann/ pixabay.com
