Nuevo ataque de botnet «avergüenza a otras botnets de IoT»


Bitdefender advierte contra este peligroso nuevo ataque IoT «dim_nexus» que es innovador y barato para los atacantes.

La firma de investigación de seguridad Bitdefender ha informado de una nueva crimson de bots destructiva que compromete los dispositivos vulnerables de Web de las cosas (IoT) y secuestra sus recursos para llevar a cabo ataques devastadores de denegación de servicio distribuida (DDoS). La botnet IoT, que la compañía denominó «dark_nexus», se ha encontrado recientemente en la naturaleza y está adoptando nuevos enfoques innovadores y peligrosos para atacar con éxito la infraestructura de TI.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

«Nuestro análisis ha determinado que, aunque dark_nexus reutiliza algunos códigos Qbot y Mirai, sus módulos principales son en su mayoría originales», dijo Bitdefender en un libro blanco de 22 páginas publicado el 8 de abril sobre los ataques, «La nueva botnet dark_nexus IoT pone a otros en vergüenza». » Si bien algunas de sus características se pueden compartir con botnets de IoT previamente conocidas, la forma Algunos de sus módulos han sido desarrollados, lo que hace que dim_nexus sea significativamente más potente y robusto., decía el informe.

«Por ejemplo, las cargas útiles se compilan para 12 arquitecturas de CPU diferentes y se entregan dinámicamente en función de la configuración de la víctima», mientras que también se utiliza una técnica destinada a garantizar la «supremacía» en el dispositivo comprometido, según el informe. «Excepcionalmente, dark_nexus utiliza un sistema de puntuación basado en pesos y umbrales para evaluar qué procesos pueden presentar un riesgo. Esto implica mantener una lista de procesos en la lista blanca y sus sistemas de detección de intrusos perimetrales (PID), y eliminar todos los demás procesos que cruzan un umbral de sospecha «.

La botnet dark_nexus, que comprende al menos 1,352 bots, aparentemente fue desarrollada por un conocido autor de botnets que ha estado vendiendo servicios DDoS y código de botnet en línea a otros atacantes con fines de lucro.

Bogdan Botezatu, director de investigación de amenazas e informes para Bitdefender, dijo que los ataques DDoS lanzados por esta botnet pueden permitir a los atacantes controlar los dispositivos secuestrados al pedirle a todos los dispositivos comprometidos en la botnet que visiten simultáneamente una página world-wide-web o servicio website, lo que puede aplastar eso. servidor bajo la carga de trabajo.

«Las víctimas ni siquiera se darán cuenta de que sus dispositivos se usan como armas contra objetivos inocuos en Online, incluso si los resultados pueden ser catastróficos para las víctimas o para el buen funcionamiento de Web», dijo Botezatu. «Por ejemplo, en 2016, un grupo de adolescentes usó dispositivos IoT secuestrados para lanzar un ataque devastador contra la infraestructura central de World wide web que interrumpió Internet en los EE. UU. Durante aproximadamente un día, dejando sin conexión a las compañías Fortune 500 y causando pérdidas financieras que es imposible de estimar «.

Los ataques DDoS se pueden lanzar contra servidores, servicios o redes para inundarlos con tráfico, eliminando sus operaciones típicas.

La botnet dark_nexus se está promocionando para la venta en YouTube, con precios anunciados tan bajos como $ 18.50 por mes durante 2,500 segundos de tiempo de arranque, dijo. Por aproximadamente $ 99 al mes, los atacantes pueden comprar acceso ilimitado, haciendo que la botnet sea accesible para cualquier persona con $ 20 y habilidades informáticas bastante básicas para lanzar sus propias interrupciones.

«Los botmasters de IoT compiten directamente entre ellos e impulsan la innovación en dispositivos comprometedores, manteniendo la persistencia y siendo competitivos en el mercado», dijo Botezatu. «Vienen con mejores mecanismos de infección que los competidores, mejores técnicas de comercialización y precios de alquiler más bajos, lo que hace que DDoS sea asequible para todos».

Para combatir los ataques de la botnet dim_nexus, los consumidores y las empresas deben auditar constantemente sus redes internas para identificar dispositivos IoT conectados y ejecutar evaluaciones de vulnerabilidad para descubrir dispositivos no parcheados o mal configurados antes de que lo hagan los atacantes, dijo Botezatu. «Dado que es possible que las normas y regulaciones de IoT estén a años de distancia, es el consumidor de IoT el responsable de su infraestructura».

Esa falta world de los estándares de seguridad de IoT necesarios, que endurecerían los dispositivos de IoT y los harían menos vulnerables a los ataques, es una gran falla en la industria y permite que este tipo de ataques de botnet sean exitosos y lucrativos para los piratas informáticos.

VER: Asegurar IoT en su organización: 10 mejores prácticas (PDF gratuito) (TechRepublic)

Mientras tanto, dichos ataques se pueden detener mediante el uso de dispositivos de seguridad de IoT que pueden atacar y defender tales ataques a nivel de pink mediante la detección de tráfico anómalo, y mediante el uso de dispositivos continuamente parcheados que inmunizan eficazmente los sistemas contra intrusiones exitosas, dijo. . Los usuarios también pueden proteger sus sistemas deshabilitando los puertos Telnet y SSH de forma predeterminada.

«Desafortunadamente, debido a que la mayoría de los proveedores de IoT ven la ciberseguridad como una ocurrencia tardía, las botnets de IoT continúan prosperando, creciendo e impactando a las organizaciones, creando una pérdida significativa de operación y tiempo de inactividad», dijo.

Las versiones anteriores de darkish_nexus de aproximadamente 3 meses de edad usaban exploits para propagación, pero ahora la botnet se propaga únicamente por la fuerza bruta utilizando el protocolo Telnet, dijo Botezatu. «Esta es una fruta de bajo consumo, ya que ofrece la mayor cantidad de infracciones con el menor costo y esfuerzo», dijo.

VER: Fuerza bruta y ataques de diccionario: una hoja de trucos (PDF gratuito) (TechRepublic)

Botezatu dijo que más del 50 por ciento de estos bots son originarios de China, Corea y Tailandia. «Esta lista incluye algunas combinaciones poco comunes que no habíamos visto anteriormente en el uso de bots, lo que, en nuestra opinión, sugiere que el autor de dark_nexus se esforzó en compilarlo. La botnet no parece apuntar a ningún rango de IP en specific, más bien, la función de generación aleatoria funciona utilizando una lista negra related a la de Mirai «.

Ver también

malware en un sistema informático

Imagen: kaptnali, Getty Photos / iStockphoto



Enlace a la noticia authentic