La botnet PgMiner ataca las bases de datos PostgreSQL de seguridad débil


PostgreSQL

Los investigadores de seguridad han descubierto esta semana una operación de botnet que tiene como objetivo las bases de datos PostgreSQL para instalar un minero de criptomonedas.

Codificado por los investigadores como PgMiner, la botnet es la última de una larga tira de operaciones recientes de ciberdelito que tienen como objetivo la tecnología web para obtener ganancias monetarias.

Según los investigadores de la Mecanismo 42 de Palo Suspensión Networks, la botnet opera mediante la realización de ataques de fuerza bruta contra las bases de datos PostgreSQL accesibles por Internet.

Los ataques siguen un patrón simple.

La botnet elige al azar un rango de red pública (por ejemplo, 18.xxx.xxx.xxx) y luego recorre todas las direcciones IP que forman parte de ese rango, buscando sistemas que tengan el puerto PostgreSQL (puerto 5432) expuesto en hilera.

Si PgMiner encuentra un sistema PostgreSQL activo, la botnet pasa de la período de escaneo a su período de fuerza bruta, donde baraja una larga tira de contraseñas en un intento de adivinar las credenciales de «postgres», la cuenta predeterminada de PostgreSQL.

Si los propietarios de la cojín de datos PostgreSQL han olvidado deshabilitar a este sucesor o han olvidado cambiar sus contraseñas, los piratas informáticos acceden a la cojín de datos y utilizan la función COPIA de PROGRAMA de PostgreSQL para resquilar su entrada desde la aplicación de la cojín de datos al servidor subyacente y hacerse cargo de todo el sistema activo.

Una vez que tienen un control más sólido sobre el sistema infectado, el equipo de PgMiner implementa una aplicación de minería de monedas e intenta extraer la maduro cantidad de criptomonedas Monero antiguamente de que sean detectadas.

Según la Mecanismo 42, en el momento de su crónica, la botnet solo tenía la capacidad de implementar mineros en plataformas Linux MIPS, ARM y x64.

Otras características notables de la botnet PgMiner incluyen el hecho de que sus operadores han estado controlando bots infectados a través de un servidor de comando y control (C2) alojado en la red Tor y que el código cojín de la botnet parece parecerse a la botnet SystemdMiner.

pgminer.png

Imagen: Palo Suspensión Networks

PgMiner marca la segunda vez que una operación de minería de monedas apunta a bases de datos PostgreSQL, con ataques similares vistos en 2018, llevados a extremo por la botnet StickyDB.

Otras tecnologías de bases de datos que incluso han sido blanco de botnets de minería de criptomonedas en el pasado incluyen MySQL, MSSQL, Redis y OrientDB.

Deja un comentario