Nueva variante del malware Chaos ataca servicios en la nube mal configurados

Investigadores de ciberseguridad han descubierto una nueva versión del malware Chaos. Este programa malicioso ahora ataca servicios en la nube que no están bien configurados, lo que significa que está ampliando su rango de objetivos más allá de los routers y otros dispositivos de red habituales. Esto es importante porque muchas empresas están migrando a la nube, y si sus sistemas no están protegidos correctamente, pueden ser víctimas de este tipo de ataques.

Cómo funciona el ataque

El malware Chaos, detectado por primera vez en 2022, es un tipo de software malicioso que puede atacar sistemas Windows y Linux. Originalmente, se usaba para ejecutar comandos remotos, instalar otros programas maliciosos, propagarse a otros equipos adivinando contraseñas SSH, minar criptomonedas y lanzar ataques de denegación de servicio distribuido (DDoS), que consisten en tumbar un servicio web enviando una enorme cantidad de tráfico.

La nueva variante de Chaos incluye una función de proxy SOCKS. Esto permite que el sistema infectado se utilice para enmascarar el origen del tráfico malicioso, lo que dificulta la detección y el bloqueo del ataque. Según Darktrace, la empresa de ciberseguridad que descubrió esta nueva variante, los atacantes parecen estar buscando formas de ganar más dinero con la botnet (red de equipos infectados) más allá de la minería de criptomonedas y los ataques DDoS.

• El ataque comienza con una petición HTTP a un servicio Hadoop mal configurado.
• Se crea una nueva aplicación que contiene comandos para descargar el agente de Chaos desde un servidor controlado por el atacante.
• Se dan permisos para que todos los usuarios puedan leer, modificar o ejecutar el agente.
• Finalmente, se ejecuta el agente y se elimina el archivo original para borrar el rastro.

Un detalle curioso es que el dominio utilizado en el ataque ya se había utilizado en una campaña de phishing (engaño por correo electrónico) por el grupo de ciberdelincuentes chino Silver Fox, para distribuir documentos falsos y el malware ValleyRAT. Esta campaña se conocía como Operación Silk Lure.

A quién afecta

Este malware afecta principalmente a empresas y organizaciones que utilizan servicios en la nube mal configurados. Un servicio en la nube mal configurado es aquel que no tiene las medidas de seguridad adecuadas, como contraseñas débiles, permisos de acceso incorrectos o software sin actualizar. Los atacantes pueden aprovechar estas vulnerabilidades para infectar el sistema con Chaos y utilizarlo para sus propios fines.

Qué significa esto para ti

Si eres usuario de servicios en la nube, es importante que te asegures de que tus sistemas están bien configurados y protegidos. Esto incluye utilizar contraseñas seguras, activar la autenticación de dos factores (2FA) siempre que sea posible, mantener el software actualizado y monitorizar la actividad de tus sistemas en busca de comportamientos sospechosos. Si eres una empresa, considera realizar auditorías de seguridad periódicas para identificar y corregir posibles vulnerabilidades. La ciberseguridad es una responsabilidad compartida, y todos debemos hacer nuestra parte para protegernos de este tipo de amenazas.