Botnet PgMiner ataca las bases de datos PostgreSQL de seguridad débil

Los investigadores de seguridad han descubierto esta semana una operación de botnet que tiene como objetivo las bases de datos PostgreSQL para instalar un minero de criptomonedas. Con el nombre en clave de los investigadores como  PgMiner , la botnet es solo la última de una larga lista de operaciones recientes de ciberdelito que tienen como objetivo […]

Los investigadores de seguridad han descubierto esta semana una operación de botnet que tiene como objetivo las bases de datos PostgreSQL para instalar un minero de criptomonedas.

Con el nombre en clave de los investigadores como  PgMiner , la botnet es solo la última de una larga lista de operaciones recientes de ciberdelito que tienen como objetivo la tecnología web para obtener ganancias monetarias.

Según los investigadores de la Unidad 42 de Palo Alto Networks, la botnet opera mediante la realización de ataques de fuerza bruta contra las bases de datos PostgreSQL accesibles por Internet.

Los ataques siguen un patrón simple.

La botnet elige al azar un rango de red pública (por ejemplo, 18.xxx.xxx.xxx) y luego recorre todas las direcciones IP que forman parte de ese rango, buscando sistemas que tengan el puerto PostgreSQL (puerto 5432) expuesto en línea.

Si PgMiner encuentra un sistema PostgreSQL activo, la red de bots pasa de la fase de escaneo a su fase de fuerza bruta, donde baraja una larga lista de contraseñas en un intento de adivinar las credenciales de «postgres», la cuenta PostgreSQL predeterminada.

Si los propietarios de la base de datos PostgreSQL han olvidado deshabilitar a este usuario o han olvidado cambiar sus contraseñas, los piratas informáticos acceden a la base de datos y utilizan la función COPIA de PROGRAMA de PostgreSQL   para escalar su acceso desde la aplicación de la base de datos al servidor subyacente y hacerse cargo de todo el sistema operativo.

Una vez que tienen un control más sólido sobre el sistema infectado, el equipo de PgMiner implementa una aplicación de minería de monedas e intenta extraer la mayor cantidad de criptomonedas Monero antes de que sean detectadas.

Según la Unidad 42, en el momento de su informe, la botnet solo tenía la capacidad de implementar mineros en plataformas Linux MIPS, ARM y x64.

Otras características notables de la botnet PgMiner incluyen el hecho de que sus operadores han estado controlando bots infectados a través de un servidor de comando y control (C2) alojado en la red Tor y que el código base de la botnet parece parecerse a  la botnet SystemdMiner.

Imagen vía Palo Alto Networks

PgMiner marca la segunda vez que una operación de minería de monedas apunta a bases de datos PostgreSQL, con ataques similares vistos en 2018, llevados a cabo por la  botnet StickyDB .

Otras tecnologías de bases de datos que también han sido blanco de botnets de minería de criptomonedas en el pasado incluyen MySQL, MSSQL, Redis y OrientDB.