Una botnet conocida como GoBruteforcer está atacando servidores mal protegidos en ataques relacionados con robos de criptomonedas, según Check Point . La empresa afirmó que el malware se está utilizando para comprometer sistemas Linux expuestos mediante la adivinación de contraseñas por fuerza bruta, y luego reutilizar esos equipos para expandir la botnet y soportar más intrusiones.
Check Point dijo que GoBruteforcer escanea internet en busca de servicios públicos que suelen estar mal configurados o protegidos con credenciales débiles. Estos incluyen herramientas de bases de datos y administración, así como otros servicios de servidor que pueden ser contactados remotamente. Una vez identificado un objetivo, la botnet intenta combinaciones repetidas de inicio de sesión hasta obtener acceso. Los sistemas comprometidos se utilizan entonces como nodos adicionales para realizar exploración y actividad de fuerza bruta contra nuevos objetivos.
El malware está escrito en el lenguaje de programación Go y diseñado para funcionar en una variedad de entornos Linux. Check Point señaló que los operadores se centran en sistemas donde no se han aplicado controles básicos de seguridad, como contraseñas predeterminadas sin cambiar, políticas de contraseñas débiles y servicios innecesarios expuestos a internet. El éxito de la botnet depende de credenciales predecibles y acceso abierto a las interfaces de gestión.
Tras obtener acceso, GoBruteforcer puede instalar componentes adicionales y mantener la persistencia, permitiendo a los atacantes mantener el control sobre el servidor. Check Point señaló que la campaña está vinculada a actividades orientadas a identificar y acceder a infraestructuras relacionadas con criptomonedas, incluyendo servicios que pueden almacenar información de carteras o proporcionar vías para transferir activos digitales. La empresa afirmó que los ataques pueden provocar transacciones no autorizadas si se obtienen credenciales de cartera o claves de acceso.
La actividad de la botnet también aumenta el riesgo más allá del objetivo inmediato. Los servidores comprometidos pueden usarse como parte de una red más amplia para lanzar nuevos ataques, ocultar el origen del tráfico malicioso y aumentar la escala de los intentos de fuerza bruta. Check Point señaló que esto puede dificultar la detección para los defensores, especialmente cuando los sistemas infectados son servidores legítimos que siguen funcionando con normalidad.
La campaña destaca cómo las debilidades básicas de seguridad siguen siendo un punto de entrada común para el ciberdelito. Check Point señaló que las organizaciones pueden reducir la exposición desactivando servicios públicos innecesarios, restringiendo el acceso administrativo, imponiendo contraseñas fuertes y únicas, y monitorizando posibles fallos repetidos de inicio de sesión. El parche regular y la revisión de los servicios expuestos también son importantes para limitar las oportunidades de ataques automatizados.
Check Point señaló que GoBruteforcer refleja un patrón más amplio de atacantes que se centran en infraestructuras fáciles de comprometer y capaces de soportar más actividades maliciosas. La compañía afirmó que la botnet sigue activa y continúa buscando sistemas vulnerables.