500 mil computadores são alvo de ataques todos os dias

windigo_operationOs investigadores da ESET, em colaboração com o CERT-Bund e outras agências de segurança, descobriram uma campanha criminosa a nível global que já rendeu o controle de 25.000 servidores Unix em todo o mundo.

O ataque, batizado de “Operação Windigo”, está fazendo com que diversos servidores sejam infectados e passem a enviar milhões de e-mails falsos por dia.

O conjunto de componentes sofisticados deste malware tem como principal objetivo penetrar nos servidores, infectar os computadores que os visitam e roubarem informações confidenciais.

Na lista de vítimas da operação Windigo já se encontram os famosos cPanel and kernel.org.

Apesar de alguns especialistas terem detectado elementos pontuais da campanha criminosa Wendigo, a dimensão e a complexidade desta operação manteve-se praticamente despercebida.

“O Wendigo foi ganhando força e em grande parte foi passando despercebido durante cerca de dois anos e meio, controlando atualmente mais de 10.000 servidores”, afirma o investigador de segurança da ESET, Marc-Étienne Léveillé. “Mais de 35 milhões de mensagens de spam estão sendo enviadas todos os dias para as caixas de correio de usuários inocentes, entupindo as mesmas e colocando os computadores em risco. Em paralelo, a cada dia que passa, mais de meio milhão de computadores estão em perigo pelo fato dos usuários visitarem páginas que se encontram alojadas em servidores infectados por este malware e que os redirecionam para sites de publicidade e kits de exploits”.

Curiosamente, embora os internautas com sistemas operacionais Windows sejam infectados através de páginas com kits de exploits, os usuários de Macs são apenas bombardeados com publicidade, ou redirecionados para sites pornográficos, no caso de estarem navegando através de um iPhone.

Mais de 60% dos sites em todo o mundo estão alojados em servidores Linux, sendo que os investigadores da ESET estão apelando aos webmasters e administradores de sistemas para que verifiquem seus servidores e computadores.

Para saber se um servidor está infectado, ou não, será necessário executar-se o seguinte comando:

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “sistema limpo” || echo “sistema infetado”

Mediante o caso, o usuário irá receber uma mensagem indicando que o sistema está infetado ou que o mesmo se encontra limpo.

A backdoor Ebury, utilizada pelo Windigo, não explora uma vulnerabilidade no Linux ou OpenSSH, sendo ao invés disso, instalada manualmente por um cibercriminoso.
O fato de os cibercriminosos terem efetuado esta operação em dezenas de milhares de servidores diferentes é preocupante.

Se os responsáveis de TI descobrirem que os seus sistemas estão infectados, deverão limpar de imediato os computadores infectados e reinstalar o sistema operacional e softwares.
É essencial que as senhas que eram utilizadas sejam alteradas, uma vez podem ter sido lidas pelos responsáveis por esse ataque.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Wintech