Nueva variante de IPStorm apunta a dispositivos IoT

6. noviembre 2020
| No hay comentarios
IoT Internet de las cosas

Compartir publicación

La nueva variante de malware InterPlanetary Storm se dirige a dispositivos IoT. Los dispositivos infectados abren puertas traseras para criptominería, DDoS y otros ataques a gran escala.

La organización ciberdelincuente detrás del malware InterPlanetary Storm ha lanzado una nueva variante que ahora apunta a dispositivos Mac y Android además de computadoras con Windows y Linux. El malware crea una red de bots que actualmente incluye alrededor de 13.500 84 computadoras infectadas en XNUMX países diferentes alrededor del mundo, y ese número sigue creciendo.

Después de Windows y Linux, ahora los dispositivos IoT

La primera variante de InterPlanetary Storm que apuntó a máquinas con Windows se descubrió en mayo de 2019, y en junio de este año se informó una variante capaz de atacar máquinas con Linux. La nueva variante, descubierta por primera vez por los investigadores de Barracuda a fines de agosto, apunta a dispositivos IoT, como televisores con sistemas operativos Android, así como máquinas basadas en Linux, como enrutadores con un servicio SSH mal configurado. Si bien la botnet que crea este malware aún no tiene una funcionalidad clara, proporciona a los operadores de la campaña una puerta trasera en los dispositivos infectados para que luego puedan usarse para cryptomining, DDoS u otros ataques a gran escala.

La mayoría de las computadoras infectadas por el malware se encuentran actualmente en Asia.

Máquinas infectadas con IPStorm 10/20

• El 59% de las computadoras infectadas se encuentran en Hong Kong, Corea del Sur y Taiwán.
• 8% en Rusia y Ucrania
• 6% en Brasil
• 5% en los Estados Unidos y Canadá
• 3% en Suecia
• 3% en China
• Todos los demás países registran 1% o menos (Alemania actualmente 0,5%)

Cómo funciona el nuevo malware InterPlanetary Storm

La nueva variante de malware InterPlanetary Storm obtiene acceso a las máquinas realizando un ataque de diccionario en servidores SSH, similar a FritzFrog, otro malware peer-to-peer (P2P). También puede obtener acceso accediendo a servidores abiertos ADB (Android Debug Bridge). El malware conoce la arquitectura de la CPU y el sistema operativo de sus víctimas, y puede ejecutarse en máquinas basadas en ARM, una arquitectura que los enrutadores y otros dispositivos IoT utilizan con bastante frecuencia. El malware se denomina Tormenta Interplanetaria porque utiliza la red p2p IPFS (Sistema de archivos interplanetarios) y la implementación subyacente de libp2p. Esto permite que los nodos infectados se comuniquen entre sí directamente o a través de otros nodos (por ejemplo, repetidores).

Particularidades de la nueva variante

Esta variante de InterPlanetary Storm está escrita en Go, usa la implementación de Go de libp2p y está empaquetada con UPX. Prolifera usando la fuerza bruta de SSH y abre puertos ADB y entrega archivos de malware a otros nodos en la red. El malware también habilita el shell inverso y puede ejecutar bash shell. La nueva variante tiene varias características únicas diseñadas para ayudar a que el malware permanezca persistente y protegido una vez que haya infectado una máquina:

  • Reconoce honeypots. El malware busca la cadena "svr04" en el indicador de shell estándar (PS1), que anteriormente usaba el honeypot Cowrie.
  • Se actualiza automáticamente. El malware compara la versión de la instancia en ejecución con la última versión disponible y se actualiza en consecuencia.
  • Intenta ser persistente instalando un servicio (system/systemv) usando un paquete Go Daemon.
  • Detiene otros procesos en la máquina que representan una amenaza para el malware, como los depuradores y el malware de la competencia.

Medidas para protegerse contra la nueva variante InterPlanetary Storm

  • Configuración adecuada del acceso SSH en todos los dispositivos: Esto significa que se utilizan claves en lugar de contraseñas, lo que hace que el acceso sea más seguro. Si el inicio de sesión con contraseña está habilitado y se puede acceder al servicio en sí, el malware puede explotar la superficie de ataque mal configurada. Este es un problema para muchos enrutadores y dispositivos IoT, lo que los convierte en objetivos fáciles para este malware.
  • Uso de una herramienta de gestión de postura de seguridad en la nube para monitorear el control de acceso SSH para evitar errores de configuración que pueden tener consecuencias graves. Si es necesario, se debe proporcionar un acceso seguro a las conchas; en lugar de exponer el recurso a amenazas en Internet, se debe implementar una conexión VPN habilitada para MFA y segmentar las redes para necesidades específicas, en lugar de permitir el acceso a redes IP amplias.

 

Más información en el blog de Barracuda.com

 

[ID de starbox = 5]

 

Artículos relacionados con el tema

Informe: 40 por ciento más de phishing en todo el mundo

El actual informe sobre spam y phishing de Kaspersky para 2023 habla por sí solo: los usuarios en Alemania buscan ➡ Leer más

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

El malware sigiloso apunta a empresas europeas

Los piratas informáticos están atacando a muchas empresas de toda Europa con malware sigiloso. Los investigadores de ESET han informado de un aumento dramático en los llamados ataques AceCryptor a través de ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

Prueba: software de seguridad para terminales y PC individuales

Los últimos resultados de las pruebas del laboratorio AV-TEST muestran un rendimiento muy bueno de 16 soluciones de protección establecidas para Windows ➡ Leer más

Noticias de prensa
, , , , ,