Los dispositivos de Internet de las cosas están aumentando la cantidad de variantes de malware de Linux. Los sistemas basados en Linux están en todas partes y son una parte central de la infraestructura de Internet , pero son los dispositivos de Internet de las cosas (IoT) de baja potencia los que se han convertido en el principal objetivo del malware de Linux.
Con miles de millones de dispositivos conectados a Internet como automóviles, refrigeradores y dispositivos de red en línea, los dispositivos IoT se han convertido en un objetivo principal para cierta actividad de malware, a saber, ataques de denegación de servicio distribuido (DDoS), donde el tráfico basura tiene como objetivo inundar un objetivo y dejarlo fuera de línea.
El proveedor de seguridad CrowdStrike dice en un nuevo informe que las familias de malware basadas en Linux más frecuentes en 2021 fueron XorDDoS, Mirai y Mozi, que en conjunto representaron el 22% de todo el malware IoT basado en Linux ese año. Estos también fueron un factor principal de malware dirigido a todos los sistemas basados en Linux, que creció un 35 % en 2021 en comparación con 2020.
Mozi, que surgió en 2019, es una botnet peer-to-peer que utiliza la tabla hash distribuida (DHT), un sistema de búsqueda, y se basa en contraseñas débiles de Telnet y vulnerabilidades conocidas para apuntar a dispositivos de red, IoT y grabadoras de video. , entre otros productos conectados a internet. El uso de DHT permite a Mozi ocultar su comunicación de comando y control detrás del tráfico legítimo de DHT. Hubo 10 veces más muestras de Mozi en 2021 en comparación con 2020, señala Crowdstrike.
XorDDoS, una botnet de Linux para ataques DDoS a gran escala , existe desde al menos 2014 y escanea la red en busca de servidores Linux con servidores SSH que no estén protegidos con una contraseña segura o claves de cifrado. Intenta adivinar la contraseña para dar a los atacantes control remoto sobre el dispositivo.
Más recientemente, XorDDoS comenzó a enfocarse en clústeres de Docker mal configurados en la nube en lugar de sus objetivos históricos, como enrutadores y dispositivos inteligentes conectados a Internet. Los contenedores Docker son atractivos para el malware de minería de criptomonedas porque brindan más ancho de banda, CPU y memoria, pero el malware DDoS se beneficia de los dispositivos IoT porque brindan más protocolos de red para abusar. Sin embargo, dado que muchos dispositivos IoT ya están infectados, los clústeres de Docker se convirtieron en un objetivo alternativo.
Según CrowdStrike, algunas variantes de XorDDoS están diseñadas para escanear y buscar servidores Docker con el puerto 2375 abierto, lo que ofrece un socket Docker sin cifrar y acceso raíz remoto sin contraseña al host. Esto puede dar al atacante acceso root a la máquina.
Las muestras de malware XorDDoS han aumentado casi un 123 % en 2021 en comparación con 2020, según la firma.
Mirai también se propaga al apuntar a servidores Linux con contraseñas débiles. Las variantes de Mirai más frecuentes en la actualidad incluyen Sora, IZIH9 y Rekai, que aumentaron en el recuento de muestras nuevas en un 33 %, 39 % y 83 % respectivamente en 2021, según CrowdStrike.
Más información: crowdstrike.com/.....35-percent-in-2021/
Fuente: somoslibres
