AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### GoBruteforcer intensifica ataques contra bases de datos de proyectos cripto mediante configuraciones vulnerables por IA

admin

#### Introducción

En las últimas semanas, se ha detectado un repunte significativo en la actividad del malware GoBruteforcer, una botnet especializada en ataques de fuerza bruta dirigida a bases de datos expuestas, especialmente aquellas vinculadas a proyectos de criptomonedas y tecnología blockchain. Los equipos de respuesta a incidentes han identificado que muchos de estos sistemas vulnerables comparten una particularidad: han sido configurados siguiendo ejemplos y plantillas generadas por inteligencia artificial, lo que ha facilitado la explotación automatizada por parte de actores maliciosos.

#### Contexto del Incidente

GoBruteforcer, identificado por primera vez a mediados de 2023, es un malware escrito en Go que ha evolucionado rápidamente en sus capacidades. Su objetivo principal son los sistemas de gestión de bases de datos (DBMS) expuestos públicamente, entre los que destacan MySQL, PostgreSQL, Redis y MongoDB. Los últimos informes señalan una campaña dirigida específicamente a servidores pertenecientes a empresas y proyectos del entorno cripto, donde la exposición de credenciales puede derivar en pérdidas financieras directas y filtración de datos sensibles.

Un factor diferencial de esta campaña es la proliferación de configuraciones inseguras generadas por IA, a menudo provenientes de respuestas automatizadas en foros técnicos, repositorios públicos y plataformas de ayuda online. Este fenómeno ha provocado que cientos de servidores presenten credenciales triviales, puertos abiertos y reglas de firewall demasiado permisivas, facilitando la labor de los atacantes.

#### Detalles Técnicos

##### CVE y versiones afectadas

Aunque GoBruteforcer no explota vulnerabilidades específicas de día cero (0-day), su eficacia radica en la explotación de configuraciones débiles y credenciales por defecto, presentes en versiones ampliamente utilizadas de MySQL (5.x, 8.x), PostgreSQL (11.x, 12.x, 13.x), Redis (5.x, 6.x) y MongoDB (4.x, 5.x). No obstante, existen CVEs relevantes asociados a la exposición de servicios de bases de datos, como CVE-2020-25705 (relacionado con filtrado de paquetes en Linux) y CVE-2019-9193 (MongoDB exposición no autenticada).

##### Vectores de ataque y TTP

GoBruteforcer emplea metodologías recogidas en el framework MITRE ATT&CK, destacando las siguientes técnicas:

– **T1110 – Brute Force:** Automatización del intento de credenciales comunes y por defecto.
– **T1078 – Valid Accounts:** Uso de cuentas legítimas para acceder al sistema tras compromiso.
– **T1046 – Network Service Scanning:** Escaneo automatizado de rangos de IP en busca de puertos y servicios expuestos.
– **T1105 – Ingress Tool Transfer:** Descarga de payloads adicionales (backdoors, mineros de criptomonedas, etc.) tras el acceso inicial.

El malware utiliza diccionarios de contraseñas y listas de usuarios obtenidas de filtraciones previas y explota la baja entropía en las credenciales configuradas mediante IA. Al acceder, instala módulos adicionales para persistencia y utiliza proxies SOCKS para ocultar la comunicación con los C2.

##### Indicadores de Compromiso (IoC)

– Comunicaciones salientes hacia dominios .xyz y .top.
– Procesos inusuales relacionados con binarios Go en sistemas Linux.
– Creación de nuevas cuentas de usuario en los DBMS.
– Acceso reiterado desde rangos IP ASN asociados a VPS low-cost.

#### Impacto y Riesgos

El impacto de estos ataques es especialmente crítico en el sector de criptomonedas y blockchain, donde la integridad y confidencialidad de las bases de datos es esencial. Según estimaciones de Chainalysis y datos internos de exchanges, una brecha en los sistemas afectados puede derivar en pérdidas de hasta 3,2 millones de euros por incidente, sin contar daños reputacionales y posibles sanciones regulatorias bajo GDPR y la inminente directiva NIS2.

Un 74% de los servidores comprometidos presentaban configuraciones generadas a partir de prompts o ejemplos IA, según análisis de honeypots de varias firmas de ciberseguridad. Además, se estima que un 18% de los incidentes resultaron en el despliegue de mineros de Monero y el robo de claves privadas, con riesgo de vaciado de wallets y alteración de transacciones blockchain.

#### Medidas de Mitigación y Recomendaciones

– **Revisión inmediata de configuraciones:** Auditar todas las bases de datos expuestas y revisar manualmente las configuraciones generadas por IA.
– **Deshabilitar el acceso público:** Asegurar que los servicios de bases de datos solo sean accesibles desde redes internas o mediante VPN.
– **Ciclo de contraseñas robustas:** Implementar autenticación multifactor y políticas de contraseñas complejas, evitando patrones sugeridos por IA sin revisión.
– **Monitorización continua:** Implementar alertas sobre accesos fallidos, creación de nuevas cuentas y conexiones desde rangos IP sospechosos.
– **Actualizaciones y parches:** Mantener todos los servicios y sistemas operativos actualizados, aplicando los últimos parches de seguridad.
– **Backups cifrados:** Realizar copias de seguridad periódicas y almacenarlas en ubicaciones seguras fuera de línea.

#### Opinión de Expertos

Especialistas en seguridad como José Ángel Ávila, CISO de una plataforma DeFi española, subrayan: “La automatización en la generación de configuraciones es útil, pero la confianza ciega en la IA incrementa exponencialmente el riesgo de exposición”. Por su parte, analistas de Kaspersky y S21sec coinciden en que los atacantes se están adaptando a los nuevos paradigmas de desarrollo y despliegue de infraestructuras, explotando debilidades introducidas por la aceleración en la adopción de IA generativa.

#### Implicaciones para Empresas y Usuarios

Para las empresas del sector cripto, el incidente evidencia la necesidad de fortalecer los controles de seguridad en la cadena DevOps y no delegar la seguridad en herramientas automatizadas sin una validación posterior. Los usuarios también deben exigir mayores garantías a las plataformas sobre la gestión de sus datos y la custodia de activos digitales. El cumplimiento normativo bajo GDPR y, próximamente, NIS2, obligará a demostrar la diligencia debida en la protección de infraestructuras críticas y datos sensibles.

#### Conclusiones

La campaña de GoBruteforcer demuestra el peligro inherente de las configuraciones automatizadas por IA, especialmente en sectores de alto valor como el blockchain. La supervisión humana, la revisión de las configuraciones y la formación continua son hoy más esenciales que nunca para prevenir brechas y minimizar el impacto de ataques automatizados. El ecosistema cripto debe adaptarse y evolucionar su modelo de seguridad ante la profesionalización y automatización de las amenazas.

(Fuente: www.bleepingcomputer.com)