Nueva familia de malware apunta a dispositivos IoT

Investigadores encontraron una nueva familia de malware que combina código de al menos otros tres malware previamente conocidos para apuntar a dispositivos de Internet de las cosas (IoT).

Los dispositivos infectados con «Mozi», como CenturyLink llama al nuevo malware, se están ensamblando en una red de bots IoT que se puede usar para lanzar ataques distribuidos de denegación de servicio (DDoS), para exfiltración de datos y para la ejecución de la carga útil.

Mozi se compone de código fuente de Gafgyt, Mirai e IoT Reaper, que son todas las familias de malware que se dirigieron a dispositivos IoT.

Mozi también se dirige principalmente a enrutadores domésticos y DVR que no están parchados, o tienen contraseñas telnet débiles o predeterminadas. Técnicamente, puede comprometer cualquier dispositivo Linux incorporado con un telnet expuesto.

Pero si bien los botnets que se ensamblaron con Mirai y Gafgyt tenían una infraestructura centralizada de comando y control, los dispositivos infectados por Mozi se han unido para formar una botnet peer to peer (P2P).

La razón que marca la diferencia es que la red de bots Mozi es, por lo tanto, más difícil de eliminar en su totalidad, afirman desde CenturyLink. Cuando la función de comando y control de una botnet se centraliza en un solo servidor o incluso en un puñado de ellos, la botnet puede desactivarse al apuntar a esos servidores.

«Con una botnet de igual a igual, no hay un punto único que pueda eliminarse para eliminar la botnet por completo», dice Benjamin. Mozi representa una amenaza para las empresas debido a su capacidad de recuperación, el amplio conjunto de dispositivos que puede infectar y sus capacidades de DDoS, exfiltración de datos y ejecución remota de código, señala.

CenturyLink descubrió Mozi en diciembre cuando investigaba la actividad de amenaza que el proveedor de seguridad supuso inicialmente estaba vinculada a IoT Reaper. El malware también se identificó por error como una variante de Mirai, Gafgyt e IoT Reaper porque contiene su código fuente.

Comenzando con solo un puñado de hosts comprometidos, la botnet Mozi creció a unos 2.200 nodos en febrero antes de disminuir gradualmente en número. CenturyLink estima que en los últimos cuatro meses, el malware ha comprometido alrededor de 15.850 dispositivos IoT en varios países. Ese número lo convierte en una amenaza de nivel medio: demasiado pequeño para lanzar grandes ataques DDoS pero lo suficientemente significativo como para ser una preocupación.

Según CenturyLink, los nodos comprometidos que forman parte de la red de bots Mozi utilizan una tabla hash distribuida (DHT) para comunicarse con otros sistemas host infectados. «El protocolo DHT estándar se usa comúnmente para almacenar información de contacto de nodos para torrent y otros clientes P2P».

Más de siete de cada 10 hosts infectados por Mozi que CenturyLink ha observado hasta ahora tienen su sede en China. Los países con el segundo mayor número de hosts infectados son los EE. UU. Y la India, que representan el 10% de cada uno de los dispositivos infectados. Los investigadores de CenturyLink también han detectado el malware en sistemas ubicados en Corea, Brasil y Rusia, aunque en cantidades sustancialmente menores.

Cuando los ataques DDoS de Mirai surgieron por primera vez en 2016, había una preocupación considerable de que las botnets de IoT pronto pudieran convertirse en un arma importante en los arsenales adversarios. Se temía que los atacantes explotaran dispositivos IoT de consumo vulnerables y mal configurados para construir botnets masivas para lanzar ataques DDoS paralizantes y otros ataques a organizaciones empresariales.

Una razón por la que esto aún no ha sucedido es porque demasiados actores malos intentan explotar dispositivos IoT al mismo tiempo. Entonces, el conjunto de dispositivos disponibles para cada uno de ellos se ha vuelto relativamente más pequeño en comparación con cuando Mirai explotó en la escena, dice Benjamin.

Los fabricantes y usuarios de dispositivos han mejorado en la protección de sus enrutadores, DVR y otros dispositivos inteligentes contra ataques, dice. Aun así, CenturyLink continúa detectando un promedio de 625 servidores de comando y control cada mes que están vinculados a las botnets IoT, dice.