Investigadores de Kaspersky han descubierto una campaña masiva de malware que está dirigiendo sus ataques hacia entornos de contenedores Docker, con el objetivo de implementar mineros de criptomoneda Dero. Esta amenaza emergente utiliza técnicas automatizadas para explotar APIs de Docker desprotegidas, representando un riesgo significativo para organizaciones que dependen de infraestructuras containerizadas.
Alcance y Objetivos de la Campaña
Los atacantes están enfocando principalmente sus esfuerzos en empresas tecnológicas, desarrolladores de software y proveedores de servicios cloud. Datos de Shodan revelan que aproximadamente 485 APIs de Docker quedan expuestas mensualmente en puertos estándar a nivel global, creando un amplio vector de ataque para los ciberdelincuentes.
Análisis Técnico del Malware
La infraestructura maliciosa se compone de dos elementos principales desarrollados en Go: nginx y cloud. El componente cloud funciona como el minero Dero propiamente dicho, mientras que nginx gestiona la propagación y operación del malware. Es notable que los atacantes hayan elegido nombrar el componente malicioso como el popular servidor web para evadir la detección.
Mecanismo de Propagación Innovador
Una característica distintiva de esta campaña es la ausencia de un servidor de comando y control tradicional. Los contenedores infectados operan de manera autónoma, realizando escaneos de red y propagando el malware, lo que dificulta significativamente su detección y mitigación. Los atacantes han modificado el proyecto de código abierto DeroHE CLI, incorporando configuraciones específicas para la minería.
Conexión con Incidentes Anteriores
El análisis forense ha establecido vínculos entre esta campaña y ataques previos contra clusters de Kubernetes durante 2023-2024. Las campañas anteriores utilizaban la misma wallet de criptomonedas y nodos derod, aunque con técnicas menos sofisticadas y sin capacidades de auto-propagación.
Para proteger las infraestructuras contra esta amenaza emergente, las organizaciones deben implementar medidas de seguridad robustas, incluyendo: el fortalecimiento de la configuración de APIs Docker, la implementación de sistemas de monitorización avanzados, y la aplicación del principio de mínimo privilegio. Es fundamental realizar auditorías de seguridad regulares y mantener actualizados todos los componentes de la infraestructura de contenedores para prevenir compromisos de seguridad.