Un grupo de Hacker gana 3 millones de dólares al instalar mineros de Monero en servidores Jenkins
Un grupo de hackers ha ganado más de 3 millones de dólares ingresando a los servidores de Jenkins e instalando malware que minaba la criptomoneda Monero.
Los piratas informáticos apuntan a Jenkins, una aplicación web de integración/implementación continua construida en Java que permite a los equipos de desarrollo ejecutar pruebas automatizadas y ejecutar diversas operaciones basadas en los resultados de pruebas, incluida la implementación de nuevos códigos en los servidores de producción. Debido a esto, los servidores de Jenkins son extremadamente populares tanto para los desarrolladores web independientes, como para las grandes empresas.
El viernes, la firma de seguridad israelí Check Point anunció que descubrió la huella de una gran operación de piratería dirigida a los servidores de Jenkins que estaban conectados a Internet.
Los piratas informáticos usason un RCE de Jenkins
Los atacantes aprovecharon CVE-2017-1000353, una vulnerabilidad en la implementación de descentralizada de Java en Jenkins que permite a los atacantes ejecutar código malicioso de forma remota sin necesidad de autenticarse primero.
Check Point dice que los hackers usaron esta vulnerabilidad para hacer que los servidores de Jenkins descarguen e instalen un minero de Monero (minerxmr.exe).
El minero se estaba descargando de una dirección IP ubicada en China y asignada a la red del gobierno de Huaian. No está claro si este es el servidor del atacante, o un servidor comprometido utilizado para alojar al minero en nombre de los piratas informáticos.
Los atacantes han estado activos durante meses. Esto les ha permitido extraer más de 10.800 criptomonedas de Monero, que actualmete equivalen a más de 3.4 millones de dólares.
Los investigadores dicen que el grupo parece haber comprometido la mayoría de las instancias de Jenkins que se ejecutan en sistemas operativos Windows.
Más de 25,000 servidores Jenkins quedaron expuestos en línea
Los atacantes no son los únicos que notaron la gran cantidad de servidores Jenkins disponibles en línea. A mediados de enero, el investigador de seguridad Mikail Tunç publicó una investigación que destacaba que había más de 25,000 servidores Jenkins expuestos a las conexiones de Internet en el momento de su investigación.
También el viernes, FireEye lanzó una nueva investigación sobre otros hackers aprovechando el fallo CVE-2017-10271 para infectar servidores Oracle WebLogic con malware. Esta vulnerabilidad ha estado bajo explotación activa desde principios de diciembre de 2017, y un grupo ya ha ganado más de 226,000 dólares.
Además de los servidores Jenkins y Oracle WebLogic, los piratas informáticos también se dirigen a los servidores Ruby on Rails, PHP e IIS, y también implementan malware Monero-Mining. Trend Micro teme que dos vulnerabilidades de CouchDB recientemente divulgadas también se exploten pronto de la misma manera.
El malware de Monero-Mining ya es la tendencia/problema de malware más grande de este año, con numerosas campañas de distribución de malware que distribuyen dichas cargas útiles en cualquier computadora no segura o servidor.