Hackers exploraram vulnerabilidades já corrigidas no software Salt para instalar malware de mineração de criptomoedas nos servidores de sites populares, incluindo o Ghost. A informação foi revelada por pesquisadores de segurança ao ZDNet em 3 de maio.
Malware de mineração de criptomoedas em servidor Ghost
Baseado em Node.js, o Ghost é um site de blogs de código aberto que se anuncia como uma alternativa mais conveniente à principal plataforma de blogs, o WordPress. No entanto, hackers conseguiram comprometer os servidores da empresa para minerar criptomoedas .
Segundo relatos a Ghost utiliza o software Salt para gerenciar seus servidores. Assim, os atacantes exploraram as falhas no software Salt para acessar o(s) site(s); posteriormente, instalaram o malware de mineração de criptomoedas, o que resultou em sobrecarga na CPU da empresa.
De acordo com um representante da Ghost, os hackers se concentraram principalmente na mineração de criptomoedas. Eles não roubaram os dados financeiros oudentdos usuários da Ghost, mas apenas instalaram malware para mineração de criptomoedas, visando extrair moedas digitais ilicitamente de seus servidores.
Malware criptográfico sobrecarregou CPUs
Os desenvolvedores do Ghost foram alertados sobre a atividade não autorizada imediatamente após o pico de uso da CPU da empresa, que sobrecarregou a maioria de seus sistemas. Eles tiveram que desligar seus servidores e só os religaram após as vulnerabilidades serem corrigidas, segundo o relatório.
Antes do incidente dent o Ghost, hackers já haviam conseguido invadir os servidores de um popular sistema operacional móvel conhecido como LineageOS, explorando as mesmas falhas relatadas no software Salt. Outro ataque foi lançado contra a autoridade certificadora Digicert na mesma campanha.
Remendos de Saltstack Falhas de sal
De acordo com um pesquisador, os processos do ataque provavelmente são realizados de formamatic, desde a varredura de vulnerabilidades até a instalação do malware de mineração de criptomoedas. Naquela época, empresas da Fortune 500, incluindo bancos e outras plataformas que utilizavam o software Salt, estavam em risco.
Para ser preciso, cerca de 6.000 servidores Salt foram expostos; no entanto, a Saltstack, empresa responsável pelo software, lançou recentemente patches para corrigir as vulnerabilidades relatadas. Os usuários foram aconselhados a proteger seus sistemas com um firewall ou a aplicar os patches nos servidores Salt.
