Nuevo ataque de botnets “avergüenza a otras botnets de IoT”
La firma de investigación de seguridad Bitdefender informa de una nueva botnet destructiva que compromete dispositivos vulnerables de Internet de las Cosas (IoT) y secuestra sus recursos para llevar a cabo ataques devastadores de Denegación de Servicio Distribuido (DDoS). La botnet IoT, que la compañía llamó “dark_nexus”, se ha encontrado recientemente en la naturaleza y está adoptando nuevos enfoques innovadores y peligrosos para atacar con éxito la infraestructura de TI.
VÉASE: Ciberseguridad: Let’s get tactical (PDF gratuito) (TechRepublic)
“Nuestro análisis ha determinado que, aunque dark_nexus reutiliza algunos códigos Qbot y Mirai, sus módulos principales son en su mayoría originales”, dijo Bitdefender en un informe técnico de 22 páginas publicado el 8 de abril sobre los ataques, “La nueva Botnet IoT dark_nexus avergüenza a Otros.”Si bien algunas de sus características pueden compartirse con redes de bots de IoT conocidas anteriormente, la forma en que se han desarrollado algunos de sus módulos hace que dark_nexus sea significativamente más potente y robusto, según el informe.
“Por ejemplo, las cargas útiles se compilan para 12 arquitecturas de CPU diferentes y se entregan dinámicamente en función de la configuración de la víctima”, mientras que también se utiliza una técnica destinada a garantizar la “supremacía” en el dispositivo comprometido, según el informe. “De forma única, dark_nexus utiliza un sistema de puntuación basado en ponderaciones y umbrales para evaluar qué procesos podrían suponer un riesgo. Esto implica mantener una lista de procesos incluidos en la lista blanca y sus sistemas de detección de intrusiones perimetrales (PIDs), y eliminar todos los demás procesos que crucen un umbral de sospecha.”
La red de bots dark_nexus, que comprende al menos 1.352 bots, aparentemente fue desarrollada por un conocido autor de bots que ha estado vendiendo servicios DDoS y código de bots durante años en línea a otros atacantes con fines de lucro.
Bogdan Botezatu, director de investigación de amenazas e informes de Bitdefender, dijo que los ataques DDoS lanzados por esta red de bots pueden permitir a los atacantes controlar los dispositivos secuestrados al pedir a todos los dispositivos comprometidos en la red de bots que visiten simultáneamente una página web o un servicio web, lo que puede aplastar a ese servidor bajo la carga de trabajo.
“Las víctimas ni siquiera se darán cuenta de que sus dispositivos se utilizan como armas contra objetivos inocuos en Internet, incluso si los resultados pueden ser catastróficos para las víctimas o para el funcionamiento adecuado de Internet”, dijo Botezatu. “Por ejemplo, en 2016, un grupo de adolescentes utilizó dispositivos IoT secuestrados para lanzar un ataque devastador contra la infraestructura principal de Internet que interrumpió Internet en los Estados Unidos durante aproximadamente un día, desconectando a las empresas de Fortune 500 y causando pérdidas financieras imposibles de estimar.”
Los ataques DDoS se pueden lanzar contra servidores, servicios o redes para inundarlos de tráfico y eliminar sus operaciones típicas.
La botnet dark_nexus se está promocionando a la venta en YouTube, con precios anunciados tan bajos como aproximadamente 1 18.50 por mes por 2,500 segundos de tiempo de arranque, dijo. Por alrededor de 9 99 al mes, los atacantes pueden comprar acceso ilimitado, lo que hace que la botnet sea accesible para cualquier persona con $20 y habilidades informáticas bastante básicas para lanzar sus propias interrupciones.
“Los botmasters de IoT compiten directamente entre sí e impulsan la innovación en dispositivos comprometidos, manteniendo la persistencia y manteniéndose competitivos en el mercado”, dijo Botezatu. “Presentan mejores mecanismos de infección que sus competidores, mejores técnicas de marketing y precios de alquiler más bajos, lo que hace que los ataques DDoS sean asequibles para todos.”
Para combatir los ataques de la botnet dark_nexus, los consumidores y las empresas deben auditar constantemente sus redes internas para identificar dispositivos IoT conectados y ejecutar evaluaciones de vulnerabilidad para descubrir dispositivos no parcheados o mal configurados antes que los atacantes, dijo Botezatu. “Dado que los estándares y regulaciones de IoT probablemente estén a años de distancia, es el consumidor de IoT el que tiene la responsabilidad de su infraestructura.”
Que la falta global de los estándares de seguridad de IoT necesarios, que endurecerían los dispositivos de IoT y los harían menos vulnerables a los ataques, es un gran defecto en la industria y permite que este tipo de ataques de botnet sean exitosos y lucrativos para los hackers.
CONSULTE: Protección de IoT en su organización: 10 mejores prácticas (PDF gratuito) (TechRepublic)
Mientras tanto, dichos ataques se pueden detener mediante el uso de dispositivos de seguridad de IoT que pueden atacar y defender dichos ataques a nivel de red mediante la detección de tráfico anómalo, y mediante el uso de dispositivos continuamente parcheados que inmunizan eficazmente a los sistemas de intrusiones exitosas, dijo. Los usuarios también pueden proteger sus sistemas deshabilitando los puertos Telnet y SSH de forma predeterminada.
“Desafortunadamente, debido a que la mayoría de los proveedores de IoT ven la ciberseguridad como una ocurrencia tardía, las redes de bots de IoT continúan prosperando, creciendo e impactando a las organizaciones, creando pérdidas significativas de operación y tiempo de inactividad”, dijo.
Las versiones anteriores del dark_nexus de aproximadamente 3 meses de antigüedad usaban exploits para la propagación, pero ahora la botnet solo se propaga por fuerza bruta utilizando el protocolo Telnet, dijo Botezatu. “Este es fruta madura como la que ofrece el mayor número de infracciones, con el menor costo y esfuerzo”, dijo.
VER: Fuerza bruta y ataques de diccionario: Una hoja de trucos (PDF gratis) (TechRepublic)
Más del 50 por ciento de estos bots son originarios de China, Corea y Tailandia, dijo Botezatu. “Esta lista incluye algunas combinaciones poco comunes que no habíamos visto previamente en uso por los bots, lo que, en nuestra opinión, sugiere que el autor de dark_nexus puso algún esfuerzo en compilarlo. La red de bots no parece apuntar a ningún rango de IP en particular, más bien, la función de generación aleatoria opera utilizando una lista negra similar a la de Mirai.”
También consulte
- Cómo convertirse en un profesional de la ciberseguridad: Una hoja de trucos (TechRepublic)
- Mastermind con man behind Catch Me If You Can talks ciberseguridad (descarga de TechRepublic)
- Seguridad de Windows 10: Una guía para líderes empresariales (TechRepublic Premium)
- Seguridad en línea 101: Consejos para proteger su privacidad de hackers y espías (ZDNet)
- Todos los términos de VPN que necesita saber (CNET)
- Ciberseguridad y ciberguerra: Más cobertura de lectura obligatoria (TechRepublic en Flipboard)
