Para los lectores familiarizados con la mitología, la palabra Windigo (o Wendigo, en español) seguramente evocará imágenes de una feroz bestia ficticia que come carne humana. Sin embargo, en el mundo de la ciberseguridad, el término se refiere a una campaña de malware "que consume los recursos del servidor", descubierta por los expertos de ESET en 2012. Eligieron ese nombre por su capacidad de "devorar" los servidores y sembrar el terror entre las víctimas.

Aquí recordaremos las características de esta campaña maliciosa.

Primer avistamiento

El malware Windigo, detectado por primera vez en 2011 por la organización Linux Foundation, logró infiltrarse en alrededor de 25.000 servidores durante un período de dos años (2012-2014). Sus operadores demostraron tener un alto nivel de conocimientos técnicos.

el grupo es capaz de diferenciar usuarios comunes de administradores, seleccionando a sus víctimas en función de sus actividades

Tras recibir la primera muestra de Linux/Cdorked, enviada por la empresa de seguridad Sucuri en marzo de 2013, ESET lanzó la Operación Windigo con el objetivo de analizar los métodos utilizados por los atacantes, el alcance de la infección y los daños provocados.

Como resultado, en 2014 se publicó un informe detallado sobre la campaña de malware y su impacto. El documento completo tenía como objetivo concientizar a los usuarios; para ello, se hizo un análisis en profundidad y se explicó la forma de detectar los hosts infectados.

La investigación tuvo gran aprobación por parte del público y la comunidad de seguridad informática. De hecho, hasta los mismos responsables del malware reconocieron lo acertado que fue el análisis, y en aquel momento comentaron: "¡Buen trabajo, ESET!".

Un enemigo astuto

Los responsables de Windigo no son aficionados. En primer lugar, la operación (que hace uso de backdoors) utiliza una versión modificada del programa OpenSSH, "una alternativa libre y abierta al programa Secure Shell (SSH), que es un software propietario".

Además de infiltrar servidores, este grupo malicioso es capaz de diferenciar los usuarios comunes de los administradores, seleccionando así a las víctimas en función de sus actividades administrativas.

Por otra parte, los autores del malware demostraron tener una experiencia notable para evadir la detección mediante diversas tácticas, por ejemplo, actualizando los servidores infectados con un nuevo software para despistar a los investigadores, o creando una nueva versión del backdoor de DNS en junio de 2013 como respuesta a la creación de herramientas de detección lanzadas pocos meses antes, en abril de 2013.

Siguiendo los rastros

Como mencionamos arriba, la investigación llevada a cabo por ESET reveló que la Operación Windigo había estado en marcha desde al menos el año 2011, y había infectado a más de 25.000 servidores únicos entre 2012-2014, en países como Francia, Italia, Rusia, México y Canadá.

Los atacantes utilizaron los servidores para enviar mensajes de correo basura en masa, robar credenciales, redireccionar el tráfico web a redes publicitarias e infectar las computadoras de quienes visitaban las páginas.

El equipo de investigación también detectó un vínculo entre "diferentes componentes maliciosos, como Linux/Cdorked, Perl/Calfbot y Win32/Glupteba.M", por lo que llegó a la conclusión de que "todos son manejados por el mismo grupo".

En comparación con otras campañas de malware, Windigo puede parecer algo pequeña. El informe de ESET confirmó que el grupo tenía "el control de más de diez mil" servidores en 2014.

Sin embargo, es importante recordar que, como ataca a servidores (que cuentan con "muchos más recursos en lo que respecta a ancho de banda, almacenamiento y potencia de cálculo"), el malware tiene un alcance mucho mayor que si simplemente infectara a los equipos personales.

De hecho, según ESET, el grupo "puede enviar más de 35.000.000 de mensajes de spam diarios" usando esta infraestructura.

Además, el malware era (y es) capaz de infiltrarse en muchos sistemas operativos diferentes, incluyendo Apple OS X, OpenBSD, FreeBSD, Microsoft Windows (a través de Cygwin) y Linux. También se descubrió que el malware infectó grandes organizaciones, como cPanel y Linux Foundation.

Métodos de ocultamiento

Asimismo, para evadir la detección, la banda responsable de la operación maliciosa suspende sus actividades cuando siente que corre el riesgo de ser descubierta.

ESET también observó que los autores del malware tienden a enfocarse en atacar sitios web más pequeños, en particular los sitios de pornografía, en lugar de servidores más importantes, dado que igual tienen un amplio alcance pero cuentan con menos medidas de seguridad. Además, los operadores son capaces de maximizar los recursos del servidor, ya que ejecutan actividades diferentes de acuerdo con el nivel de acceso obtenido.

De esta manera, los operadores son capaces de causar estragos con el malware, a la vez que se mantienen un paso por delante de las autoridades y los expertos en seguridad informática.

Para investigar y combatir a los atacantes, ESET formó un equipo de trabajo con algunas organizaciones internacionales durante la operación, entre las que se incluyen CERT-Bund, la Organización Nacional Sueca de Informática y la Organización Europea para la Investigación Nuclear (CERN). Gracias a esta colaboración, los miembros del equipo fueron capaces de notificar a las personas afectadas y ayudarlas con la desinfección.

La bestia sigue viva

Como ocurre con muchas amenazas de malware, la identificación del problema no es una solución en sí misma y, como el malware utilizado en la Operación Windigo sigue evolucionando, es imperativo que los administradores hagan todo lo posible para evitar una infiltración.

Desde la publicación del informe en 2014, ESET ha continuado con su misión de combatir las amenazas y proteger a los usuarios ante el malware Linux/Ebury, así como ante otras amenazas.