Botnet IOTroop/Reaper podría superar la devastación generada por Mirai
Esta botnet, agrega a sus filas nuevos bots todos los días y ha infectado a un millón de negocios durante el mes pasado; podría eclipsar fácilmente la devastación generada por Mirai.
El malware y botnet apodado IOTroop, fue advertido en Septiembre por investigadores de Check Point quienes detectaron que el 60% de las redes organizacionales tenían al menos un dispositivo afectado.
Igual que Mirai, este malware se aprovecha de la mala configuración de los dispositivos de red, dispositivos como routers y cámaras IP inalámbricas desarrolladas por D-Link, TP-Link, Netgear, MikroTik, Linksys, Synology y GoAhead.
“Se estima que cerca de un millón de organizaciones alrededor del mundo han sido afectadas, incluyendo países como E.U., Australia y otros lugares del mundo, por lo que el número de dispositivos afectados va en aumento”, de acuerdo con una investigación preliminar publicada por CheckPoint el pasado jueves.
Aunque este malware parece compartir algunas similitudes con el código utilizado por Mirai, su objetivo es completamente diferente, comentó Maya Horowitz, gerente del área inteligencia en ciberamenazas de CheckPoint, en una entrevista para Threatpost.
“Tiene el potencial de causar mayor daño que Mirai”, comentó Horowitz. “Este malware tiene un rango de vulnerabilidades mayor, por lo que puede afectar a más productos”, explicó.
En Octubre del 2016, Mirai se replicó a través de los dispositivos de IoT, obteniendo acceso mediante nombres de usuario y contraseñas por defecto. Posteriormente utilizaba estos dispositivos como botnet para realizar ataques de DDoS. El mayor de estos ataques afectó a la compañía Dyn, proveedora de servicios DNS causando que una gran cantidad de sitios web estuvieran inactivos por horas.
Horowitz dijo que se han encontrado similitudes entre IOTroop y Mirai, un ejemplo es la búsqueda de dispositivos de red para realizar ataques de DDoS.
"La diferencia más interesante entre este malware y Mirai es que IOTroop es mucho más sofisticado, debido a que no solamente se explotan credenciales por defecto para comprometer dispositivos, además utilizan más de una docena de vulnerabilidades para obtener acceso a los mismos, comentó.
Para el caso de la cámara IP inalámbrica de GoAhead, los atacantes explotaron una vulnerabilidad conocida que les permitía evitar autenticarse (CVE-2017-8225), la cual fue identificada en Marzo y afectaba más de 1,025 modelos de cámaras. Para otros dispositivos, como el router inalámbrico de Linksys modelo RangePlus WRT110, se explotó una vulnerabilidad conocida desde el año 2014, que permitía la ejecución remota de comandos. Esta vulnerabilidad existe debido a que la interfaz web del router no validaba los pings realizados hacia los objetivos, provocando una falta de protección ante ataques CSRF (Cross-Site Request Forgery).
Los investigadores dijeron que se ha encontrado una gran cantidad de servidores C&C (Command and Control) manejados por los atacantes detrás de este malware, el cual actualiza el rango de direcciones IP a atacar de manera constante.
“Cada dispositivo afectado genera un rango de direcciones IP, las cuales son utilizadas para escanear vulnerabilidades”, explicó Horowitz. “Este malware tiene la característica de auto propagación con la intervención mínima del C&C. Se continúan realizando estudios e ingeniería inversa para conocer mejor el funcionamiento del mismo.”
“Hasta el momento no se tienen todas las respuestas del funcionamiento de este malware, se conoce que los dispositivos infectados generan un rango de direcciones IP, con la finalidad de encontrar vulnerabilidades en otros dispositivos. Finalmente, las direcciones IP de los dispositivos vulnerables son enviadas al C&C”, comentó.
Los investigadores creen que la botnet está obteniendo equipos de manera muy rápida y puede utilizarlos para realizar un ataque masivo de DDoS. “Contamos con la experiencia necesaria en este tipo de situaciones para evitar un problema mayor”, escribieron los investigadores.
Aún no se conocen a las personas detrás de este malware/botnet, tampoco se sabe cuáles son sus objetivos o cuándo realizarán el siguiente ataque.
“Es muy sencillo evaluar las intenciones detrás de los atacantes, pero es vital tener las medidas y mecanismos de defensa necesarios para evitar los ataques”, comentaron los investigadores.