Investigadores de ESET, en colaboración con CERT-Bund, la Organización Europea para la Investigación Nuclear (CERN), la Infraestructura Nacional para la Informática de Suecia y otras agencias han descubierto una operación cibercriminal muy extendida que ha tomado el control de decenas de miles de servidores Unix.
Si tu sistema se encuentra infectado, los expertos recomiendan que reinstales el sistema operativo y consideres todas las credenciales utilizadas para registrarte en el sistema como comprometidas. Hablando claro, si has sido víctima, todas las contraseñas y claves privadas OpenSSH deben ser cambiadas.
El ataque, que ha sido nombrado “Windigo” por la criatura mitológica del folclore de los nativos americanos Algonquinos, ha conseguido afectar alrededor de 25.000 servidores Unix, lo que ha supuesto un envío diario de 35 millones de correos spam desde las máquinas afectadas. Esto de por sí ya sería suficientemente malo.
Este análisis aportó datos curiosos, ya que los investigadores descubrieron que “23 personas aún navegan por Internet aparentemente usando Windows 98 y una persona lo hace incluso con Windows 95.”
Léveillé y sus compañeros investigadores hacen un llamamiento a los administradores de sistemas Unix y webmasters para que ejecuten el siguiente comando que les dirá si su servidor se encuentra infectado o no:
$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”
Este comando debería decirte rápidamente si tu sistema se encuentra seriamente comprometido por Windigo o no, y si deberías tomar medidas para limpiar y proteger mejor tus servidores en el futuro.
