Kaspersky detecta como eliminar propagación del malware
Expertos de Kaspersky Lab trabajan en identificar el primer propagador del malware Mirai basado en Windows para eliminar las redes de robots Mirai libremente disponibles; nueva amenaza que preocupa, pues todo indica que fue creado por un desarrollador con habilidades más avanzadas que las de los atacantes Denegación de Servicio (DDoS) impulsados por Mirai a finales de 2016.
La firma especializada en seguridad informática labora con con CERTs, proveedores de hosting y operadores de red para hacer frente a esta, que considera una creciente amenaza para la infraestructura de Internet, mediante la eliminación de un número significativo de servidores de comando y control.
La eliminación rápida y exitosa de estos servidores minimiza el riesgo y la interrupción que presentan las crecientes redes de robots basadas en IoT. Kaspersky Lab ha ayudado a acelerar estos esfuerzos gracias a su experiencia y relaciones con CERTs y proveedores alrededor del mundo.
Mirai parece haber sido creado por un desarrollador con habilidades más avanzadas que las de los atacantes que desencadenaron los enormes ataques de Denegación de Servicio (DDoS) a finales de 2016, un hecho que tiene implicaciones preocupantes sobre el uso y objetivos de futuros de ataques.
Datos de Kaspersky Lab muestran ataques por este bot de windows en alrededor de 500 sistemas únicos en 2017 los cuales fueron detectados y bloqueados. Sin embargo, los mercados emergentes que han invertido fuertemente en tecnologías conectadas podrían estar particularmente en riesgo.
El propagador basado en Windows es más rico y robusto que el código base original de Mirai, pero la mayoría de los componentes, técnicas y funcionalidades tienen varios años. Su capacidad para la propagación del malware Mirai es limitada: solo puede llevar los robots Mirai de un host infectado basado en Windows a un dispositivo IoT vulnerable basado en Linux si es capaz de forzar con éxito una conexión telnet remota.
A pesar de esta limitación, el código es claramente el trabajo de un desarrollador más experimentado, aunque probablemente nuevo en el campo de Mirai. El hecho de que el código se compiló en un sistema chino, con servidores host mantenidos en Taiwán, y el abuso de certificados de firma de código robados de empresas chinas, sugieren que el desarrollador probablemente hable el idioma chino.
Para Kurt Baumgartner, principal investigador de Seguridad, Kaspersky Lab, la aparición de un crossover de Mirai entre la plataforma Linux y la plataforma Windows es una preocupación real, al igual que la llegada de desarrolladores más experimentados.
“El lanzamiento del código fuente para el troyano bancario Zeus en 2011 trajo años de problemas para la comunidad en línea y el lanzamiento del código fuente del bot IoT Mirai en 2016 hará lo mismo en el Internet. Los atacantes más experimentados con habilidades y técnicas más sofisticadas, están empezando a aprovechar el código Mirai libremente disponible. Una red de robots de Windows que dispersa robots IoT Mirai llega a otro nivel y permite la propagación de Mirai a dispositivos y redes que antes no estaban disponibles para los operadores de Mirai. Y esto es sólo el comienzo”, señaló.
Con base en la geolocalización de direcciones IP involucradas en la segunda etapa del ataque, los países más vulnerables son mercados emergentes que han invertido fuertemente en tecnología conectada, como India, Vietnam, Arabia Saudita, China, Irán, Brasil, Marruecos, Turquía, Malawi, Emiratos Árabes Unidos, Pakistán, Túnez, Rusia,Moldavia, Venezuela, Filipinas, Colombia, Rumania, Perú, Egipto y Bangladesh.
C$T-EVP