Los investigadores han revelado una pieza de malware multiplataforma nunca antes vista que ha infectado una amplia gama de dispositivos Linux y Windows, incluyendo routers de pequeñas oficinas, cajas FreeBSD y servidores de grandes empresas.
Black Lotus Labs, la rama de investigación de la empresa de seguridad Lumen, llama al malware Caos, una palabra que aparece repetidamente en los nombres de las funciones, los certificados y los nombres de los archivos que utiliza. Chaos surgió a más tardar el 16 de abril, cuando el primer grupo de servidores de control entró en funcionamiento. Desde junio hasta mediados de julio, los investigadores encontraron cientos de direcciones IP únicas que representaban dispositivos Chaos comprometidos. Los servidores utilizados para infectar nuevos dispositivos se han multiplicado en los últimos meses, pasando de 39 en mayo a 93 en agosto. Hasta el martes, el número ascendía a 111.
También puede Leer | Wolfi: Una versión de Linux con medidas de seguridad para la cadena de suministro de software
Black Lotus ha observado interacciones con estos servidores de montaje tanto desde dispositivos Linux integrados como desde servidores empresariales, incluyendo uno en Europa que alojaba una instancia de GitLab. Hay más de 100 muestras únicas en la naturaleza.
"La potencia del malware Chaos se debe a varios factores", escribieron los investigadores de Black Lotus Labs en unaentrada del blog del miércoles por la mañana. "En primer lugar, está diseñado para funcionar en varias arquitecturas, incluyendo: ARM, Intel (i386), MIPS y PowerPC, además de los sistemas operativos Windows y Linux. En segundo lugar, a diferencia de las redes de bots de distribución de ransomware a gran escala, como Emotet, que aprovechan el spam para propagarse y crecer, Chaos se propaga a través de CVEs conocidos y por fuerza bruta, así como de claves SSH robadas."
También puede Leer | Notables iniciativas de seguridad de código abierto desarrolladas el año 2022
Los CVE se refieren al mecanismo utilizado para rastrear vulnerabilidades específicas. El informe del miércoles sólo se refería a unas pocas, entre ellas las CVE-2017-17215 y CVE-2022-30525 que afectan a los cortafuegos vendidos por Huawei, y la CVE-2022-1388, una vulnerabilidad extremadamente grave en los equilibradores de carga, cortafuegos y equipos de inspección de red vendidos por F5. Las infecciones SSH que utilizan el forzamiento de contraseñas y el robo de claves también permiten que el caos se propague de máquina a máquina dentro de una red infectada.
Chaos también tiene varias capacidades, incluyendo la enumeración de todos los dispositivos conectados a una red infectada, la ejecución de shells remotos que permiten a los atacantes ejecutar comandos, y la carga de módulos adicionales. Estas capacidades, combinadas con la posibilidad de ejecutarse en una amplia gama de dispositivos, han llevado a Black Lotus Labs a sospechar que Chaos "es el trabajo de un actor cibercriminal que está cultivando una red de dispositivos infectados para aprovechar el acceso inicial, los ataques DDoS y la minería de criptomonedas", dijeron los investigadores de la compañía.
También puede Leer | Google sube sus premios de seguridad para Linux
Black Lotus Labs cree que Chaos es una rama de Kaiji, un software de botnet para servidores AMD e i386 basados en Linux para realizar ataques DDoS. Desde su aparición, Chaos ha ganado una serie de nuevas características, incluyendo módulos para nuevas arquitecturas, la capacidad de ejecutarse en Windows, y la capacidad de propagarse a través de la explotación de vulnerabilidades y la recolección de claves SSH.
Las direcciones IP infectadas indican que las infecciones de Chaos se concentran sobre todo en Europa, con focos más pequeños en América del Norte y del Sur, y Asia-Pacífico.
Los investigadores de Black Lotus Labs escribieron:
Durante las primeras semanas de septiembre, nuestro emulador de host Chaos recibió múltiples comandos DDoS dirigidos a aproximadamente dos docenas de dominios o IP de organizaciones. Utilizando nuestra telemetría global, identificamos múltiples ataques DDoS que coinciden con el marco temporal, la IP y el puerto de los comandos de ataque que recibimos. Los tipos de ataque eran generalmente multivectoriales, aprovechando UDP y TCP/SYN a través de múltiples puertos, y a menudo aumentaban en volumen en el transcurso de varios días. Entre las entidades objetivo se encontraban los juegos, los servicios financieros y la tecnología, los medios de comunicación y el entretenimiento, y el alojamiento. Incluso observamos ataques dirigidos a proveedores de DDoS como servicio y a una bolsa de criptomonedas. En conjunto, los objetivos abarcaban EMEA, APAC y Norteamérica.
Una empresa de juegos fue objeto de un ataque mixto UDP, TCP y SYN a través del puerto 30120. Entre el 1 y el 5 de septiembre, la organización recibió una avalancha de tráfico superior a su volumen habitual. Un desglose del tráfico durante el periodo anterior y durante el periodo de ataque muestra una avalancha de tráfico enviado al puerto 30120 por aproximadamente 12.000 IPs distintas, aunque parte de ese tráfico puede ser indicativo de una suplantación de IP.
Algunos de los objetivos eran proveedores de DDoS como servicio. Uno de ellos se comercializa como un estresador de IP y un booter de primera clase que ofrece la posibilidad de eludir CAPTCHA y capacidades "únicas" de DDoS en la capa de transporte. A mediados de agosto, nuestra visibilidad reveló un aumento masivo del tráfico, aproximadamente cuatro veces superior al mayor volumen registrado en los 30 días anteriores. A continuación, el 1 de septiembre, se produjo un pico aún mayor, de más de seis veces el volumen de tráfico normal.
También puede Leer | ¿Porqué el código abierto estaría orientado hacia la seguridad?
Las dos cosas más importantes que la gente puede hacer para prevenir las infecciones del caos son mantener todos los routers, servidores y otros dispositivos totalmente actualizados y utilizar contraseñas fuertes y autenticación multifactor basada en FIDO2 siempre que sea posible. Un recordatorio para los propietarios de routers de pequeñas oficinas de todo el mundo: La mayoría del malware de los routers no sobrevive a un reinicio. Considere la posibilidad de reiniciar su dispositivo cada semana aproximadamente. Los que utilizan SSH deberían utilizar siempre una clave criptográfica para la autenticación.
Fuente: somoslibres
