Siempre se ha dicho que Linux era un sistema invulnerable, que no había virus, y que es mucho más seguro que otras alternativas, como Windows o macOS. Sin embargo, aunque es cierto que este sistema nos ofrece un plus de seguridad frente a sus rivales, está muy lejos de ser el bastión del que muchos presumen. Y no solo por los virus que puedan afectarlo directamente, sino también por el malware remoto, que ataca directamente programas o protocolos, frente al cual no podemos hacer nada. Y esto es lo que hace el nuevo RapperBot.
RapperBot es una nueva botnet que lleva en funcionamiento desde mediados de junio de este año. Este malware se especializa en realizar ataques de fuerza bruta al protocolo SSH de todo tipo de servidores Linux. Con ello, pretende establecer una conexión con el equipo, acceder a él y poder tanto acceder a los datos guardados en el servidor como desplazarse por dentro de la red en busca de otros equipos.
Este nuevo malware se basa en Mirai, un troyano que lleva unos cuantos años infectando decenas de miles de dispositivos Linux para crear una de las redes de ordenadores más grandes con el fin de alquilarla al mejor postor para todo tipo de ataques informáticos. Sin embargo, aunque se basa en él, RapperBot es algo diferente, ya que los piratas informáticos tienen más control sobre su expansión y no busca centrarse en la realización de ataques DDoS, sino en la conexión remota a equipos y el movimiento lateral dentro de una red.
Los piratas informáticos controlan esta botnet mediante un panel C2. De esta forma pueden indicarle objetivos, y mandarle listas de usuarios SSH para probar, con fuerza bruta, cuál permite la conexión. Es capaz de conectarse a cualquier servidor SSH con intercambio de claves Diffie-Hellmann con claves de 768-bit o 2048-bit y cifrado AES128-CTR.
En tan solo un mes y medio, este malware ha escaneado y atacado a más de 3500 direcciones IP. Y parece, además, que está más vivo que nunca.
Cómo mitigar estos ataques
Los ataques de fuerza bruta no dependen de un fallo de seguridad en un programa o un protocolo, por lo que no podemos esperar un parche mágico que, de repente, nos proteja. Por tanto, no hay una forma de protegernos por completo frente a esta amenaza, sino que lo que tenemos que hacer es mitigar su impacto y evitar que podamos ser nosotros la siguiente víctima.
Para ello, lo primero y más obvio es que, si no usamos el SSH, desactivemos el servicio en nuestro Linux. Esto nos impedirá conectarnos de forma remota al sistema, pero al mismo tiempo nos garantiza que no vamos a caer en las garras de estos piratas. Otra posible forma de protegernos es configurar la seguridad para bloquear las conexiones tras un número limitado de intentos. Así, por ejemplo, si se bloquean las conexiones tras 10 intentos fallidos durante 10 minutos, los ataques de fuerza bruta pierden toda eficacia.
Otros consejos para mitigar el impacto del malware son los típicos, como no usar los usuarios por defecto, usar contraseñas largas, aleatorias y seguras, y cambiar el puerto por defecto.