Després de l’atac de ransomware de WannaCry, que havia aconseguit perseguir els usuaris d’un sistema operatiu Windows obsolet, ara hi ha Atac SambaCry, que s'aprofita contra els servidors Linux.
Tots assumim que els sistemes Linux són immunes a virus, programari maliciós o qualsevol altre tipus d'atac. Però els sistemes Linux són atacats per malware, encara que no per virus. I l’últim atac de programari maliciós conegut com a SambaCry sembla que només s’orienta a servidors Linux. Això pot sorprendre a molta gent, però sempre hi ha certes llacunes que es poden aprofitar amb relativa facilitat i Linux no és una excepció.
Un nou programa maliciós anomenat Linux.MulDrop.14 ha aconseguit orientar els usuaris amb versions anteriors de Rasbian OS - Usuaris de gerds que no han canviat les contrasenyes predeterminades dels seus dispositius. El troià Linux, Linux.MulDrop.14 és un script bash que conté un programa de mineria de criptomonedes, que es comprimeix mitjançant xifratge gzip i base 64.
Després d’haver infectat els dispositius alimentats per Raspberry Pi, s’inicia el programa de criptomoneda. A més, l'script bash instal·la les biblioteques necessàries per a l'explotació de criptomonedes. Com que aquest programari maliciós es va descobrir a prop del brot de WannaCry, s’anomena així Vermell etern or SambaCry.
D'acord amb el Investigadors de la llista segura, SambaCry executa la utilitat de minador de codi obert miner minador de CPU (miderd) i la criptomoneda que s’extreu aquí és monero. Fins ara, els assaltants de les seves empreses ja han extret uns 5,400 dòlars de XMR.
En aquest atac no hi ha cap demanda de rescat. En canvi, els delinqüents simplement van instal·lar les eines necessàries al servidor i van permetre que generés XMR pel camí. L’atacant utilitza l’intèrpret d’ordres remot per instal·lar el “CPUminer” modificat, un programari de mineria de criptomonedes que extrau moneda digital “Monero”, que alguns investigadors han començat a anomenar EternalMiner.
Miner de criptomonedes #EternalMiner ús #SambaCry # CVE_2017_7494 per infectar servidors Linux. mostra nova @malwrhunterteam. pic.twitter.com/aXlEQKkdtq
— Omri Ben-Bassat (@beta_b0t) Juny 8, 2017
Les accions del programari maliciós van entrar en el punt de mira després que es publiqués un pedaç Samba, que es referia a totes les versions publicades des del 2010. Mitjançant el mateix defecte que es pot aprofitar mitjançant el protocol SMB, un pirata informàtic pot obrir una canonada als servidors Samba i executar codi maliciós de forma remota. .
Per tant, es recomana a tots els administradors del sistema que actualitzin el seu programari Samba i que els seus sistemes siguin immunes a aquests atacs.
