Ataques a servidores usando Python y Bots de Telegram

El laboratorio de ESET analizo un código malicioso escrito en Python con capacidad de ejecutar criptomineros y exfiltrar información mediante un Bot a grupos de Telegram que afecta versiones de Windows server y se focaliza en Latinoamérica afectando sectores de salud, hoteles, financieros entre otros.

El código malicioso identificado como Python/PSW.Agent.BHH es usado por cibercriminales para comprometer sistemas que utilizan versiones basado en cualquier versión de Windows Server 2019 o de Windows Server 2016 que no han sido parchados y versiones antiguas (legacy) como Windows Server 2008 y Windows Server 2012 que ya no reciben actualizaciones de seguridad por parte de Microsoft, lo que representa un alto riesgo para la red de datos, usuarios e información de la empresa.

Esta amenaza puede escanear y comprometer otros equipos en la red interna explotando la vulnerabilidad ZeroLogon, la cual es reconocida de gravedad critica como CVE-2020-1472 (puntuación CVSS de 10, la mas alta), afectando el protocolo Netlogon que permite a los atacantes secuestrar controladores de dominio Windows.

El código malicioso programado en Python, posee características de downloader (Descargar malware en el equipo comprometido) e infostealer (malware que tienen capacidad de robar información), además es utilizado para realizar capturas de pantalla de la máquina de la víctima y enviarlas a los cibercriminales mediante un Bot hacia un canal de Telegram.

Otra de sus funcionalidades es leer la información contenida en el portapapeles de la víctima con el fin de detectar datos de una billetera virtual (wallet) de la víctima para luego modificarla por una perteneciente a los cibercriminales.

Los accesos, en esta ocasión, fueron utilizados para ejecutar criptomineros o códigos maliciosos que reemplazan las billeteras electrónicas de las víctimas por unas pertenecientes a los cibercriminales, lo que deja abierta la posibilidad de sufrir ataques más complejos.

En el siguiente diagrama se ilustra el proceso de infección del código malicioso, que comienza con el acceso no autorizado a un servidor de Windows y termina con la ejecución de un archivo malicioso en Python, que descarga y ejecuta otros componentes, como herramientas tipo mimikatz o nmap, así como archivos autoextraíbles que finalmente ejecutan criptomineros en la víctima. 

Los cibercriminales tienden a seleccionar víctimas en sectores como la salud, hotelero, construcción o la educación y, si bien los ataques detectados fueron a nivel global, se han centrado especialmente en Latinoamérica, sobre todo en México, Argentina, Colombia y Perú. Según la investigación, es altamente probable que los cibercriminales obtengan acceso no autorizado a sus víctimas mediante la explotación de vulnerabilidades o ataques de fuerza bruta.

Consejos para protegerse

Dado que hemos visto que esta amenaza se distribuye sobre servidores de Windows y otros equipos que se ubiquen en la misma red, enumeramos distintas recomendaciones para tener en cuenta y evitar ser una posible víctima:

  • Mantener los equipos y aplicaciones actualizados a la versión más reciente.
  • Mantener actualizadas las soluciones de seguridad instaladas en el o los dispositivos.
  • Realizar un monitoreo de la red buscando anomalías:
    • Múltiples intentos de accesos sobre un servicio en particular.
    • Múltiples intentos de inicio de sesión con un mismo usuario.
  • Evitar el uso de contraseñas triviales como: password, p@ssw0rd, etc.

En el caso que dé haya ciertos equipos que no puedan ser actualizados a la versión más actual de Windows Server, recomendamos asegurarse que la protección de ataques de red está habilitada en el ESET Server Security (disponible en el producto a partir de versiones 8 en adelante) ya que en versiones antiguas de Windows Server este componente no viene por defecto. Para más información de como habilitar esta capa de protección revisar los pasos para la instalación de ESET Server Security.


>> Más detalles en nuestros canales privados de WhatsApp Telegram.

Es muy importante que se identifiquen las vulnerabilidades en los sistemas y aplicaciones antes que sean descubiertas por los actores maliciosos que aprovechan esas debilidades para realizar los ataques en búsqueda de beneficios económicos.

Muchas empresas privadas y de gobierno afectadas por ciberataque de ransomware masivo


Recibe un Diagnóstico Sin Costo del estado de seguridad de tu aplicación o sitio web dando clic en el siguiente enlace: