Alerta roja: ¡Un nuevo malware convierte los servidores Docker en criptomineros!

Alerta roja: ¡Un nuevo malware convierte los servidores Docker en criptomineros!

Una nueva campaña de malware se dirige específicamente a instancias de API de Docker mal configuradas y las utiliza para crear una red de bots ilegal para extraer la criptomoneda Dero. Los investigadores de seguridad de Kaspersky han descubierto que un actor de amenazas desconocido está explotando vulnerabilidades en las API de Docker publicadas de forma insegura. El malware exhibe capacidades similares a las de un gusano que le permiten propagarse a otras instancias de Docker, lo que hace que su propagación sea mucho más fácil. Los contenedores comprometidos se utilizan para extraer criptomonedas y realizar ataques externos.

El ataque se produce a través de dos componentes principales: un malware que se propaga y se hace pasar por un servidor web nginx legítimo y busca API de Docker expuestas, y el minero de criptomonedas Dero. Ambos componentes están desarrollados en Golang. El malware registra sus actividades, inicia el minero y genera subredes de red IPv4 aleatorias para identificar instancias de Docker vulnerables adicionales. En particular, el objetivo son las instancias con el puerto API estándar 2375 abierto. Además de la minería dero, la capacidad del malware para infectar contenedores basados ​​en Ubuntu también es alarmante.

Actitud atípica de los atacantes

Los investigadores de ciberseguridad de Trend Micro informan de un "enfoque poco ortodoxo" para estos ataques. Descubrieron que los atacantes se dirigen a servidores API remotos de Docker vulnerables y aprovechan el protocolo gRPC sobre h2c para eludir las soluciones de seguridad existentes. Primero, los atacantes verifican la disponibilidad y la versión de la API de Docker. Luego envían solicitudes para actualizar la conexión gRPC/h2c para manipular la funcionalidad de Docker e implementar su carga útil de minería.

Después de actualizar la conexión, se puede crear un contenedor que se utilizará para la minería de criptomonedas. Se utiliza SRBMiner, que está alojado en GitHub. Aunque SRBMiner está destinado en última instancia a extraer el token XRP, que forma parte de la cadena de bloques Ripple, es importante tener en cuenta que XRP es un token acuñado y, por lo tanto, no se puede extraer. Sin embargo, SRBMiner también utiliza algoritmos como RandomX y KawPow, que pueden generar tokens como Monero, Ravencoin, Haven Protocol, Wownero y Firo. Se cree que los atacantes extraen principalmente Monero, ya que este token es muy buscado por los ciberdelincuentes debido a sus características de privacidad y anonimato.

Recomendaciones para proteger los servidores API de Docker

Los expertos en seguridad de Trend Micro recomiendan proteger los servidores API remotos de Docker con controles de acceso y mecanismos de autenticación más sólidos. Los usuarios deben monitorear periódicamente sus servidores para detectar actividades inusuales e implementar mejores prácticas para proteger los contenedores. Debido a que esta campaña de malware es consistente con una actividad similar documentada previamente por CrowdStrike en marzo de 2023, es esencial que las organizaciones reconsideren y adapten sus precauciones de seguridad.

Para obtener más información sobre las amenazas actuales de malware autopropagante, visite TI Boltwise y TecnologíaRadar.