Más de 800k servidores en riesgo por nuevo malware de criptosecuestro que explota PostgreSQL

Los investigadores de Aqua Nautilus han descubierto un nuevo malware que se dirige a servidores PostgreSQL para implementar mineros de criptomonedas.

La empresa de ciberseguridad ha identificado más de 800,000 servidores que son potencialmente vulnerables a una campaña de criptosecuestro dirigida a PostgreSQL, un sistema de gestión de bases de datos relacionales de código abierto utilizado para almacenar, gestionar y recuperar datos para varias aplicaciones.

Según un informe de investigación compartido con crypto.news, el llamado malware “PG_MEM” comienza intentando obtener acceso a las bases de datos de PostgreSQL con un ataque de fuerza bruta y logra infiltrarse en bases de datos con contraseñas débiles.

Una vez que el malware se infiltra en , establece un rol de superusuario con privilegios administrativos, lo que le permite tomar el control total de la base de datos y bloquear el acceso para otros usuarios. Con este control, el malware ejecuta comandos de shell en el host, facilitando la descarga e implementación de cargas maliciosas adicionales.

Según el informe, las cargas útiles contienen dos archivos diseñados para permitir que el malware evite la detección, configure el para la minería de criptomonedas y despliegue la herramienta de minería XMRIG utilizada para minar Monero (XMR)

XMRIG es a menudo utilizado por actores de amenazas debido a las transacciones difíciles de rastrear de Monero. El año pasado, una plataforma educativa fue comprometida en una campaña de criptosecuestro donde los atacantes desplegaron un que instaló XMRIG en el de cada visitante.

El malware secuestra servidores PostgreSQL para desplegar mineros de criptomonedas

Los analistas descubrieron que el malware elimina las tareas cron existentes, que son tareas programadas que se ejecutan automáticamente en intervalos específicos en un servidor, y crea nuevas para asegurarse de que el minero de criptomonedas continúe funcionando.

Esto permite que el malware continúe sus operaciones incluso si el servidor se reinicia o si algunos procesos se detienen temporalmente. Para pasar desapercibido, el malware elimina archivos y registros específicos que podrían ser utilizados para rastrear o identificar sus actividades en el servidor.

Los investigadores advirtieron que si bien el objetivo principal de la campaña es implementar el minero de criptomonedas, los atacantes también obtienen el control del servidor afectado, lo que destaca su gravedad.

Las campañas de criptosecuestro dirigidas a bases de datos PostgreSQL han sido una amenaza recurrente a lo largo de los años. En 2020, los investigadores de Unit 42 de Palo Alto Networks descubrieron una campaña de criptosecuestro similar que involucraba la botnet PgMiner. En 2018, se descubrió la botnet StickyDB, que también se infiltró en servidores para MINEar Monero.