De nuevo una vulnerabilidad salpica a los sistemas Linux. Pero en esta ocasión no es un problema la falta de soluciones, ya que existe una actualización para resolver el conocido como SambaCry. El problema es que la tasa de actualización es ínfima y los ciberdelincuentes han encontrado un escenario del que aprovecharse. Para ser más exactos, se están valiendo de esta vulnerabilidad no parcheada en muchos equipos para instalar malware.

No se trata de una novedad, sobre todo porque los ciberdelincuentes se han valido en los últimos años de fallos de seguridad no resueltos para afectar a los equipos. Es decir, las empresas desarrolladoras han publicado una actualización, pero el porcentaje de equipos que han recibido esta actualización ha estado muy por debajo de lo esperado, propiciando que aparezca este escenario y poner en bandeja a los ciberdelincuentes su explotación, sobre todo después de que la vulnerabilidad sale a la luz, y con ella todos los detalles para sacar provecho de la misma.

Seguramente muchos se pregunten el motivo que ha llevado a los expertos en seguridad a llamar a esta vulnerabilidad de forma similar a WannaCry. El motivo es muy sencillo: ubicación temporal. La publicación de la pieza malware y el descubrimiento de la vulnerabilidad coincidieron practicamente en el tiempo. Además, para utilizar SambaCry, hay que utilizar también una vulnerabilidad en el protocolo SMB, de ahí el nombre.

La distribución de EternalMiner gracias a SambaCry

Para todo aquel que no sepa en qué consiste este problema, permite al atacante disfrutar de un acceso para subir contenido utilizando el servicio SMB. Expertos en seguridad reconocen que ha sido a partir del día 30 del pasado mes cuando han comenzado los ataques de este tipo. Los ciberdelincuentes están utilizando los sistemas Linux que son vulnerables para subir un software que permite el minado de criptomonedas utilizando el sistema afectado por SambaCry.

En primer lugar, los ciberdelincuentes prueban si son capaces de subir archivos al equipo. En caso satisfactorio, el segundo paso es subir la amenaza y una shell con permisos de administrador en el sistema. Esto servirá para instalar la amenaza.

EternalMiner no es nada más y nada menos que la modificación de una herramienta de minado bastante conocida.

Las cifras de minado al detalle

La empresa de seguridad Kaspersky está siguiendo muy de cerca las progresiones de este ataque. Indican que por el momento han conseguido 5.000 dólares utilizando la criptomoneda Monero.

Pero lo que menos importa es esto, o al menos para los expertos en seguridad. Indican que existen cientos de miles de equipos que están afectados por el problema de seguridad, siendo muchos de ellos servidores que alojan páginas web o que están vinculados a actividades empresariales. La situación resulta bastante complicada y está lejos de resolverse, sobre todo porque siempre existirán equipos que nunca reciban el parche de seguridad que pone fin a esta vulnerabilidad.

Para detectar una posible infección de esta amenaza, bastaría con comprobar cuál es el grado de utilización de la CPU. En el caso de existir una utilización alta de forma constante y durante un periodo largo, podría ser un indicativo de que el sistema esté infectado.