No pasa un mes sin que encontremos una amenaza nueva. Y en un entorno en que la ciber-resiliencia es imprescindible, cualquier compañía preocupada por su ciberseguridad empresarial debe poner todos sus esfuerzos a la hora de evitar los daños de un ciberataque o, al menos, de detenerlos y minimizar su acción.
Eso es precisamente lo que está pasando con Xwo, un nuevo malware descubierto por el Alien Labs de AT&T que se recorre todo internet en busca de posibles vulnerabilidades que puedan servir para abrirle al cibercrimen las puertas de páginas webs y servicios conocidos por la mayoría de usuarios.
¿Qué hace Xwo?
La labor que Xwo lleva a cabo, en líneas generales, son tres tareas básicas para explotar las brechas de seguridad y ponerlas a merced de quienes quieran aprovecharlas en su propio beneficio:
1.- Para empezar, Xwo hace un rastreo activo por gran parte de las páginas y plataformas que encuentra en internet. Su objetivo es localizar aquellos portales que contienen vulnerabilidades o que atesoran contraseñas por defecto que pueden ser fácilmente vulnerables. Para ello combina características de diferentes familias de malware como el ransomware, las botnets, los gusanos o el malware empleado en ataques de cryptojacking.
2.- Una vez localizados los portales frágiles, a diferencia de otras técnicas de ransomware, este malware no actúa por sí solo, sino que recopila la información de las credenciales, contraseñas de servicios protegidos y copias de seguridad, entre otras cosas, y la envía a servidores de control a través de una solicitud HTTP POST.
3.- En dicho servidor, los ciberdelincuentes acceden a la información, la almacenan y dirigen sus propios ciberataques. Su obsesión, en muchos casos, es conseguir que los portales conocidos sean redirigidos a dominios de origen maligno (generalmente con extensión .tk) que robarán la máxima información posible. Si el resultado es exitoso, incluso pedirán dinero para restablecer los datos robados.
¿A quién afecta este malware?
El objetivo de Xwo es obtener las credenciales del mayor número de personas posible, con lo que los grandes portales y empresas de internet están siempre en el objetivo de sus acciones. Los medios de comunicación e incluso varias empresas de ciberseguridad son varios de los principales afectados.
Para ello, este malware ataca sobre todo servicios como FTP, MySQL, PostgreSQL, MongoDB, Redis, Memcached, Tomcat, phpMyAdmin, VNC o RSYNC, en los que ha encontrado diversas vulnerabilidades.
¿Cómo esquivar a Xwo?
La existencia de Xwo supone un paso más allá en el cibercrimen y un verdadero peligro para todo tipo de empresas, más allá de su tipología o tamaño. Por ello, si quieren proteger su ciberseguridad, los administradores de red de las compañías que puedan ser víctimas de este malware deben activar las medidas adecuadas:
1.- Contraseñas seguras. Las compañías deben evitar mantener las contraseñas por defecto que se instalaron en gran parte de sus servicios internos y cambiarlas por otras más complejas. Además, conviene que estas credenciales sean cambiadas con cierta asiduidad. Este consejo también se puede extender a los propios usuarios, a los que se les puede sugerir claves que se alejen de las combinaciones de caracteres más o menos obvias que pueden presuponer los ciberdelincuentes.
2.- Vigilancia proactiva. Ninguna empresa puede arriesgarse a descubrir un ciberataque o una vulnerabilidad cuando ya es demasiado tarde. En este sentido, Patch Management audita, monitoriza y prioriza las actualizaciones de los sistemas operativos y aplicaciones desde un panel único. Además, es capaz de contener y mitigar ataques que explotan vulnerabilidades, aplicando una política constante de actualizaciones críticas para detectar cualquier posible amenaza incluso antes de que sea efectiva.
3.- Servidores seguros. Todas las compañías disponen de servidores estratégicos en los que almacenan todo tipo de información sensible necesaria para que su sistema funcione. Para prevenir todo tipo de problemas es esencial que, en la medida de lo posible, estos servidores no puedan ser fácilmente accesibles a través de internet o que, al menos, ofrezcan una mayor resistencia ante posibles atacantes.
Y es que muchas veces los ciberataques no se inician cuando se produce la invasión por fuerza bruta, sino mucho antes, cuando otra herramienta fue capaz de analizar las posibles vulnerabilidades sin despertar sospechas. Por ello, cualquier organización debe mantenerse alerta ante cualquier sospecha para, de manera proactiva, ser capaz de proteger su ciberseguridad empresarial evitando que algunos tipos de malware como Xwo aprovechen credenciales y servicios desprotegidos para sembrar el caos en los sistemas informáticos de la compañía.