ChannelBiz

“Si usted tiene un sitio web en un servidor Unix o son responsables de la seguridad de los servidores Unix de su empresa, hay algo muy importante que debe hacer ahora mismo”, así iniciaba Graham Cluley un post en el blog de ESET, empresas de seguridad que ha detectado que miles de servidores basados en Linux se han visto infectados simultáneamente con un troyano de puerta trasera utilizado para robar credenciales, enviar spam y redirigir tráfico web. El malware ha sido capaz de redirigir diariamente a, al menos, medio millón de usuarios web hacia contenido malicioso.

El ataque, que ha sido bautizada como ‘Operation Windigo’, se ha realizado durante más de dos años y medio y ha llegado a comprometer a más de 25.000 servidores basados en Linux simultáneamente.

Con sede en Bratislaba, ESET ha investigado la operación criminal en colaboración con CERT-Bund, la organización europea para la investigación njuclear (CERN), la Swedish National Infrastructure for Computing y otras agencias.Los servidores infectados están localizados en Alemania, Estados Unidos, Francia y Reino Unido, y los sistemas operativos afectados parecen ser Linux, FreeBSD, OpenBSD, Mac OS X y Windows. No obstante, ya que más del 60% de los sitios web se ejecutan en servidores basados en Linux, los investigadores de ESET ha pedido a los administradores de sistemas que comprueben sus sistemas para ver si están afectados.

ESET ha detectado que los servidores comprometidos han sido infectados con Ebury OpenSSH, un malware sofisticado que utilizado en servidores es particularmente virulento por su mayor ancho de banda, y capacidad de almacenamiento y memoria.

Los ordenadores que visitan un servidor infectado y redireccionados a una página maliciosa se encuentran con un exploit que comprueba el software y las vulnerabilidades que puede explotar.

Marc-Étienne Léveillé, investigador de seguridad de ESET, asegura que se han enviado cerca de 35 millones de mensajes de spam cada día a “cuentas de usuarios inocentes”, y lo que es peor, “cada día medio millón de ordenadores están en riesgo de ser infectados”, dice el experto de seguridad.

Se calcula que en febrero había 11.000 servidores infectados, cifra que ha crecido hasta los casi 26.000 este mes.