Un malware de botnet de Linux conocido como XorDDos ha sido testigo de un aumento del 254% en la actividad en los últimos seis meses, según la última investigación de Microsoft, Cabe destacar que el troyano, llamado así por llevar a cabo ataques de denegación de servicio en sistemas Linux y su uso de cifrado basado en XOR para las comunicaciones con su servidor de comando y control (C2), ha estado activo desde al menos 2014.
XorDDos realiza ataques automatizados de adivinación de contraseñas, mejor conocidos comow ataques de fuerza bruta en miles de servidores Linux para encontrar las credenciales de administrador coincidentes utilizadas en servidores con SSH. Después de obtener las credenciales, XorDDoS usa privilegios de root para instalarse en el sistema Linux y usa encriptación tipo XOR para comunicarse con la infraestructura de comando y control del atacante.
Este malware está diseñado para soportar diferentes distribuciones de Linux, sin mencionar que viene con funciones para desviar información confidencial, instalar un rootkit y actuar como un vector para rastrear actividades.
En otra señal de que el malware podría actuar como conducto para otras amenazas, los dispositivos que originalmente fueron violados con XorDDos se infectan posteriormente con otro troyano de Linux llamado Tsunami, que luego implementa el minero de monedas XMRig.
XorDDoS fue una de las familias de malware centradas en Linux más activas durante 2021 y se ha beneficiado del crecimiento de los dispositivos de Internet de las cosas (IoT), que en su mayoría se ejecutan en variantes de Linux, pero también se ha dirigido a clústeres de Docker mal configurados en servicios en la nube.
Como siempre hemos dicho, las contraseñas de tus cuentas son la principal defensa contra los ciberdelincuentes y por eso debemos reforzarla y cambiarla cada cierto tiempo.