Outlaw Hacking Group no es de los grupos de ciberdelincuencia más veteranos. en realidad hace solo un par de años desde que sus primeras actividades fueran detectadas por la empresa de seguridad TrendMicro. Desde entonces, y empleando Perl Shellbot, han protagonizado varias oleadas de ataques, generalmente dirigidas a grupos concretos de objetivos. Por ejemplo, su primera identificación se produjo en 2018, cuando dirigieron sus ataques hacia la industria automotriz y contra el sector financiero.
Hace solo un par de meses, se supo que Outlaw estaba empleando su malware, en todas las máquinas infectadas y controladas mediante un servidor C&C para minar Monero, una cibermoneda bastante popular y que, por encontrarse todavía en una fase temprana, ofrece una relación más aceptable de tiempo / beneficios que otras más populares, como Bitcoin o Ethereum. Por esta razón es una de las elecciones preferentes para redes de botnets empleadas para minar moneda, como la recientemente caída VictoryGate.
MS Recomienda
Y hoy sabemos, por el experto en seguridad Pierluigi Paganini, que se ha detectado una nueva campaña organizada por este grupo, y que tiene como principal objetivo organizaciones europeas. No resulta especialmente extraño, ya que los investigadores apuntan a Rumanía como origen y sede del grupo, por lo que la cercanía geográfica y cultural es un elemento que podrían estar empleando a su favor en estos ataques. De momento no hay datos más concretos sobre los objetivos atacados, pero saber que están actuando dentro del viejo continente ya debe ponernos sobre alerta.
Sobre su funcionamiento, la botnet basada en Shellbot y creada por Outlaw combina ataques de fuerza bruta con varios exploits de SSH. Hay que recordar que Shellbot es un patógeno de amplio espectro, pues puede atacar desde servidores con Linux a dispositivos IoT, pasando por sistemas con Windows e incluso Android. En este caso, y por el ataque descrito por el investigador, parece que la campaña se estaría centrando en servidores basados en Linux.
Para efectuar los ataques, en la primera fase se lleva a cabo un ataque de fuerza bruta mediante SSH. Un aspecto interesante es que es ejecutado desde múltiples direcciones IP. ¿Con qué fin? Muy sencillo, con el de poder espaciar un mínimo de 30 segundos la petición de cada una de ellas. De este modo los atacantes pueden eludir las acciones de los sistemas como Fail2Ban. Cuantos más equipos controle la botnet, más sencillo es realizar un ataque de fuerza bruta sin llegar a ser bloqueado por estas herramientas. Aquí es donde la monitorización activa cobra toda su importancia.
Una vez «dentro», el patógeno lleva a cabo varias acciones, de entre las que destaca, sin duda, la detección y eliminación de otros patógenos. Sí, has leído bien, hablamos de un patógeno que, con el fin de evitar conflictos con otros elementos que puedan haber infectado el sistema, procede al borrado (de existir) de elementos clave de los mismos. A continuación completa la infección y, a partir de ese momento, ya está operativo para empezar a minar Monero o, claro, asumir las nuevas labores que le puedan ser asignadas por Outlaw.
Imagen: Departamento de Defensa de EEUU
Fuente:https://www.muyseguridad.net
