Una botnet de Linux que prolifera utilizando claves SSH robadas

ZDNet advierte que los usuarios de Linux deben estar atentos a «una nueva red de bots peer-to-peer (P2P) que se está propagando entre redes utilizando claves SSH robadas y ejecutando su malware de criptominería en la memoria de un dispositivo». La botnet Panchan P2P fue descubierta por investigadores de Akamai en marzo, y la compañía ahora advierte que podría explotar la colaboración entre instituciones académicas para propagarse al hacer que las claves de autenticación SSH previamente robadas se compartan a través de redes. Esta institución educativa, la botnet Panchan, utiliza sus servidores Linux para minar criptomonedas, según Akamai… “En lugar de solo ataques de fuerza bruta o de diccionario en direcciones IP aleatorias como lo hacen la mayoría de las botnets, el malware también lee los archivos id_rsa yknown_hosts para recopilar las credenciales existentes y usarlas para desplazarse lateralmente. en la red…”. Akamai encontró 209 pares, pero solo 40 de ellos están actualmente activos y la mayoría estaban ubicados en Asia. ¿Y por qué el sector educativo está más afectado por Panchan? Akamai sospecha que esto podría deberse a una higiene deficiente de las contraseñas o al malware que se mueve por la red con claves SSH robadas. Akamai escribe que el malware «intercepta e ignora las señales de finalización de Linux (específicamente SIGTERM – 0xF y SIGINT – 0x2) que se le envían». el estándar POSIX, página 313, no es posible).»