Sitio de Linux Mint comprometido hacía a usuarios descargar un S.O. infectado

Espero que no seas uno de los cientos de usuarios que descargaron una versión comprometida del sistema operativo Linux Mint el sábado.

Porque si lo eres, es posible que no solo estés ejecutando una de las variantes más amigables de Linux en tu computadora, sino también siendo anfitrión de un troyano ELF (Executable and Linkable Format) llamado Tsunami, que puede ser usado para robar archivos de tu sistema y realizar ataques distribuidos de denegación de servicio (DDoS).

En un post, Clement Lefebvre, líder del proyecto Linux Mint, advirtió que atacantes habían logrado irrumpir en los servidores de esta distribución y reemplazar enlaces de descarga ISO por una versión comprometida de Linux Mint 17.3 Cinnamon, alojada en un servidor FTP búlgaro.

Al descubrir el problema, se cree que el equipo de Linux Mint limpió su propio sitio y volvió a infectarse a través de una instalación insegura de WordPress. En respuesta, y mientras trataba de manejar estas vulnerabilidades, dejó fuera de línea al sitio linuxmint.com (muy sabio de su parte).

Al momento de escribir este post, el sitio principal de Linux Mint continúa fuera de servicio:

Linux Mint website down

¿Qué hacer si te infectaste?

Lefebvre dio los siguientes consejos para usuarios que hayan descargado la versión comprometida de Linux Mint:

Borra el ISO. Si lo grabaste a DVD, deshazte del disco. Si lo grabaste a USB, formatea el dispositivo.

Si lo instalaste en una computadora:

  • Desconecta la computadora de Internet
  • Haz backup de tus datos personales, si los hubiera
  • Reinstala el sistema operativo o formatea la partición
  • Cambia tus contraseñas para sitios web sensibles, y en especial la de tu correo electrónico

Lamentablemente, los problemas parecen no terminar aquí.

El investigador de amenazas de Fox-IT Yonathan Klijnsma dijo en Twitter que había encontrado un atacante bajo el apodo “peace_of_mind” tratando de vender en un sitio underground una base de datos de un foro phpBB robada del servidor de Linux Mint.

En una entrevista con el periodista de ZDNet Zack Whittaker, el atacante en cuestión asegura haber comprometido los sistemas de Linux Mint dos veces, el 28 de enero y el 18 de febrero, robando una copia completa de la base de datos del foro del sitio. Esta incluye direcciones de correo electrónico, fechas de cumpleaños, fotos de perfil y contraseñas hasheadas de cerca de 71.000 usuarios.

No hay plazo estimado para el regreso del sitio web de Linux Mint, pero si yo fuese un usuario que podría haber tenido su información personal expuesta, o su computadora comprometida, no perdería mi tiempo tomando medidas para garantizar que el daño fue limitado.

Si tus datos podrían haber terminado en manos de la comunidad underground, asegúrate de que no estás usando las mismas contraseñas en otra parte de la web.

Y, por supuesto, si tu propia computadora podría haber descargado la versión comprometida de Linux Mint, sigue las intrucciones de recuperación y considera escanear todo lo que descargas con una solución antivirus actualizada en el futuro.

Los usuarios de Linux no deberían engañarse creyendo que son mágicamente inmunes a ataques de malware.

Autor Graham Cluley, We Live Security

Síguenos