Imagen: Peter Kruse
Investigadores de seguridad del proveedor rumano de antivirus Bitdefender descubrieron una botnet que infecta los enrutadores domésticos y otros dispositivos inteligentes de World wide web de las cosas (IoT) y luego intenta extraer criptomonedas.
Esto marca la tercera botnet de IoT que pierde su tiempo al intentar extraer criptomonedas en dispositivos que claramente no admiten este tipo de operaciones.
Breve historia de LiquorBot
Llamado LiquorBot, la botnet se vio por primera vez en mayo de 2019, según un informe publicado ayer Bitdefender.
La botnet no es nada especial en términos de capacidades técnicas. Funciona como cualquier otra botnet de IoT que se haya documentado en los últimos años. A continuación se muestra un breve resumen de las características de LiquorBot:
- Utiliza los siguientes exploits para infectar enrutadores y dispositivos inteligentes (en su mayoría enrutadores): CVE-2015-2051, CVE-2016-1555, CVE-2016-6277, CVE-2018-17173, CVE-2017-6884, CVE-2018-10562 , CVE-2017-6077, CVE-2017-6334, CVE-2016-5679, CVE-2018-9285, CVE-2013-3568, CVE-2019-12780
- Utiliza una lista de 82 combinaciones de nombre de usuario y contraseña para aplicar fuerza bruta al servicio SSH de dispositivos inteligentes en los que no se ha cambiado la contraseña predeterminada
- Puede infectar dispositivos que se ejecutan en arquitecturas de CPU como ARM, ARM64, x86, x64 y MIPS
- Se controla desde un servidor de comando y manage basado en internet (C&C)
El único detalle novedoso sobre LiquorBot es el hecho de que el malware es una versión de la cepa Mirai reescrita en el lenguaje de programación Go, pero eso es todo.
Perdiendo su tiempo
La mayoría de las botnets de IoT hoy en día generalmente aparecen y desaparecen en semanas o meses. LiquorBot es un caso extraño porque permaneció activo durante todo 2019.
Bitdefender dice que el malware a menudo recibió actualizaciones, generalmente en forma de nuevas vulnerabilidades. Sin embargo, la actualización más interesante se registró en octubre.
La compañía dice que el código LiquorBot se expandió con un módulo que intentó extraer la criptomoneda Monero (XMR) en dispositivos infectados.
El módulo, en sí mismo, es bastante inútil, ya que toda la botnet se basa en enrutadores infectados, por encima de cualquier otra cosa.
Los enrutadores SOHO (Small Business office Residence Business office) son dispositivos baratos que carecen de las capacidades de CPU y hardware para extraer criptomonedas de manera adecuada, lo cual es una operación que requiere muchos recursos.
En el pasado, otras botnets de IoT también perdieron el tiempo intentando minar criptomonedas en los enrutadores SOHO, con poco éxito, y todos dejaron de intentarlo en cuestión de semanas, principalmente debido al bajo rendimiento de los dispositivos pirateados.
La primera botnet de IoT que experimentó con la función fue una botnet basada en Mirai operada fuera de China, en marzo de 2017. El experimento de botnet con un módulo de minería de Bitcoin durante una semana, antes de soltar el módulo por completo.
El segundo era una cepa de malware IoT llamada Linux.MulDrop.14, detectado por Dr.World wide web en junio de 2017. Esta botnet apuntó a dispositivos Raspberry Pi, donde también intentó extraer Bitcoin. Si bien los dispositivos Raspberry Pi tienen acceso a más recursos de hardware que su enrutador SOHO informal, esta botnet tampoco rompió el banco, deteniendo sus experimentos después de unas pocas semanas.
El descubrimiento de estas dos botnets en 2017 alentó a los investigadores a estudiar la posibilidad de que las botnets IoT se utilicen como granjas mineras de criptomonedas. En ese momento, Errata Stability estimó que si una botnet Mirai de 2.5 millones de bots extraía criptomonedas, ganaría solo un exiguo $ .25 por día, disipando efectivamente la noción de que las botnets IoT podrían usarse para la minería de criptomonedas.
Aparentemente, el autor de LiquorBot no recibió el aviso.
