Nueva familia de malware ensambla botnet de IoT



&#39Mozi&#39 combina código de tres malware de IoT previamente conocidos.

Los investigadores de CenturyLink han encontrado una nueva familia de malware que combina código de al menos otros tres malware previamente conocidos para apuntar a dispositivos de Net de las cosas (IoT).

Los dispositivos infectados con «Mozi», como CenturyLink llama al nuevo malware, se están ensamblando en una purple de bots IoT que se puede usar para lanzar ataques distribuidos de denegación de servicio (DDoS), para exfiltración de datos y para la ejecución de la carga útil. Hasta ahora, sin embargo, no está claro si la botnet se ha utilizado para llevar a cabo alguno de los ataques.

Mozi se compone de código fuente de Gafgyt, Mirai e IoT Reaper, que son todas las familias de malware que se dirigieron a dispositivos IoT. Al igual que el malware IoT anterior, Mozi también se dirige principalmente a enrutadores domésticos y DVR que no están parcheados o tienen contraseñas telnet débiles o predeterminadas. Técnicamente, puede comprometer cualquier dispositivo Linux incorporado con un telnet expuesto.

Pero si bien las botnets que se ensamblaron con Mirai y Gafgyt tenían una infraestructura centralizada de comando y management, los dispositivos infectados por Mozi se han unido para formar una botnet de igual a igual (P2P).

La razón que marca la diferencia es que la purple de bots Mozi es, por lo tanto, más difícil de eliminar en su totalidad, dice Michael Benjamin, director de Black Lotus Labs en CenturyLink. Cuando la función de comando y regulate de una botnet se centraliza en un solo servidor o incluso en un puñado de ellos, la botnet puede desactivarse al apuntar a esos servidores.

«Con una botnet de igual a igual, no hay un punto único que pueda eliminarse para eliminar la botnet por completo», dice Benjamin. Mozi representa una amenaza para las empresas debido a su capacidad de recuperación, el amplio conjunto de dispositivos que puede infectar y sus capacidades de DDoS, exfiltración de datos y ejecución remota de código, señala.

CenturyLink descubrió Mozi en diciembre cuando investigaba la actividad de amenaza que el proveedor de seguridad supuso inicialmente estaba vinculada a IoT Reaper. El malware también se identificó por mistake como una variante de Mirai, Gafgyt e IoT Reaper porque contiene su código fuente.

Comenzando con solo un puñado de hosts comprometidos, la botnet Mozi creció a unos 2,200 nodos en febrero antes de disminuir gradualmente en número. CenturyLink estima que en los últimos cuatro meses, el malware ha comprometido alrededor de 15.850 dispositivos IoT en varios países. Ese número lo convierte en una amenaza de nivel medio: demasiado pequeño para lanzar grandes ataques DDoS pero lo suficientemente significativo como para ser una preocupación, dice Benjamin.

Según CenturyLink, los nodos comprometidos que forman parte de la pink de bots Mozi utilizan una tabla hash distribuida (DHT) para comunicarse con otros sistemas host infectados. «El protocolo DHT estándar se united states comúnmente para almacenar información de contacto de nodo para torrent y otros clientes P2P», dijo CenturyLink en un reporte sobre el nuevo malware esta semana. En este caso, el protocolo ha permitido a los autores de Mozi controlar la botnet sin necesidad de una infraestructura centralizada de comando y control.

Más de siete de cada 10 hosts infectados por Mozi que CenturyLink ha observado hasta ahora tienen su sede en China. Los países con el segundo mayor número de hosts infectados son los EE. UU. Y la India, que representan el 10% de cada uno de los dispositivos infectados. Los investigadores de CenturyLink también han detectado el malware en sistemas ubicados en Corea, Brasil y Rusia, aunque en cantidades sustancialmente menores.

Cuando los ataques DDoS de Mirai surgieron por primera vez en 2016, había una preocupación sizeable de que las botnets de IoT pronto pudieran convertirse en un arma importante en los arsenales adversarios. Se temía que los atacantes explotaran dispositivos IoT de consumo vulnerables y mal configurados para construir botnets masivas para lanzar ataques DDoS paralizantes y otros ataques a organizaciones empresariales.

Una razón por la que esto aún no ha sucedido es porque demasiados actores malos intentan explotar dispositivos IoT al mismo tiempo. Entonces, el conjunto de dispositivos disponibles para cada uno de ellos se ha vuelto relativamente más pequeño en comparación con cuando Mirai explotó en la escena, dice Benjamin.

Los fabricantes y usuarios de dispositivos han mejorado en la protección de sus enrutadores, DVR y otros dispositivos inteligentes contra ataques, dice. Aun así, CenturyLink continúa detectando un promedio de 625 servidores de comando y regulate cada mes que están vinculados a las botnets IoT, dice.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más tips





Enlace a la noticia primary