Servidores Oracle atacados por nuevo malware de Linux que roba contraseñas y cifrado

Se ha observado que los delincuentes explotan servidores Oracle WebLogic mal defendidos para fines como extraer criptomonedas y crear botnets DDoS.

Aqua, investigadora de ciberseguridad, fue testigo de varios ataques en la naturaleza y decidió ejecutar un honeypot. Luego observamos que los actores de amenazas rompieron contraseñas débiles e instalaron malware llamado Hadooke.

El malware se ha utilizado en “docenas” de ataques durante las últimas semanas y tiene dos funciones principales: minería de criptomonedas y una botnet de denegación de servicio descentralizada (DDoS). Además, este malware otorga al atacante un control total sobre el punto final comprometido.

hadouken

Oracle WebLogic es un servidor de aplicaciones basado en Java que le permite desarrollar, implementar y administrar aplicaciones de nivel empresarial.

WebLogic, una plataforma robusta y escalable para aplicaciones distribuidas, es utilizada por muchas empresas para servicios web, portales y conectividad de bases de datos. Normalmente se utiliza para ejecutar aplicaciones de misión crítica a gran escala en los campos de las finanzas, las comunicaciones y el comercio electrónico. Si bien WebLogic es popular, también es un objetivo principal para los ciberdelincuentes debido a sus “diversas vulnerabilidades”, según un informe de The Register.

Hasta ahora, los investigadores han visto piratas informáticos utilizando Hadoken para extraer criptomonedas, pero aún no se han utilizado otras funciones. También se dice que Hadoken tiene rastros de funcionalidad de ransomware. “Los actores de amenazas también pueden introducir este ataque al ransomware de Linux, o pueden haberlo ya introducido si el malware se ejecuta en el sistema durante más tiempo que una ejecución en la zona de pruebas”, escribieron los investigadores.

Los investigadores rastrearon las direcciones IP del malware Hadoken y encontraron dos. Uno de ellos es de una empresa de hosting del Reino Unido pero está registrado en Alemania. “Si bien esta dirección IP se ha asociado previamente con TeamTNT y Gang 8220, este vínculo débil no indica si este ataque fue obra de alguno de estos actores de amenazas”, dijeron los investigadores. La segunda dirección IP está registrada a nombre de la misma empresa de hosting en Rusia. Actualmente no se utiliza.

Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que necesita para tener éxito en su negocio.

a través del registro

Más artículos de TechRadar Pro

https://www.techradar.com/pro/security/oracle-servers-targeted-by-new-linux-malware-to-steal-passwords-crypto