El malware nunca antes visto ha infectado cientos de dispositivos Linux y Windows

Los investigadores han descubierto malware multiplataforma nunca antes visto que ha infectado una variedad de dispositivos Linux y Windows, incluidos enrutadores de oficinas pequeñas, cajas FreeBSD y servidores de grandes empresas. Black Lotus Labs, el brazo de investigación de la firma de seguridad Lumen, llama al malware Chaos, una palabra que se usa a menudo en nombres de funciones, certificados y nombres de archivos. El caos se produjo a más tardar el 16 de abril, cuando el primer grupo de servidores de control se puso en marcha en la naturaleza. Desde junio hasta mediados de julio, los investigadores encontraron cientos de direcciones IP únicas que representan dispositivos Chaos comprometidos. Los servidores de prueba, utilizados para infectar nuevos dispositivos, se han multiplicado en los últimos meses, pasando de 39 en mayo a 93 en agosto. El martes, el número llegó a 111. Black Lotus ha observado interacciones con estos servidores de prueba desde dispositivos Linux integrados y servidores empresariales, incluido un servidor en Europa que aloja una instancia de GitLab. Hay más de 100 especímenes únicos en la naturaleza. «La potencia del malware Chaos se deriva de una serie de factores», escribieron los investigadores de Black Lotus Labs en una publicación de blog el miércoles por la mañana. “Primero, está diseñado para funcionar en varias arquitecturas, incluidas: ARM, Intel (i386), MIPS y PowerPC, además de los sistemas operativos Windows y Linux. En segundo lugar, a diferencia de las botnets de distribución de ransomware a gran escala como Emotet, que utilizan spam para propagarse y están creciendo, el caos se propaga a través de CVE conocidos y fuerza bruta, así como claves SSH robadas». CVE se refiere al mecanismo utilizado para rastrear vulnerabilidades específicas. El miércoles El informe solo cubre algunos, incluidos CVE-2017-17215 y CVE-2022-30525 que afectan a los firewalls vendidos por Huawei, y CVE-2022-1388, una vulnerabilidad extremadamente grave en los equilibradores de carga, firewalls y dispositivos de inspección de red vendidos por F5. Infecciones SSH con la fuerza bruta de contraseñas y las claves robadas también permiten que Chaos se propague de una máquina a otra dentro de una red infectada. Chaos también tiene varias habilidades, incluida la lista de todos los dispositivos conectados a una red infectada, la ejecución de shells remotos que los atacantes usan para emitir comandos y ejecutar y cargar módulos adicionales. Combinadas con la capacidad de ejecutarse en una gama tan amplia de dispositivos, estas capacidades han llevado a Black Lotus Labs a creer que Chaos es «el trabajo de un ciberdelincuente que cultiva una red de dispositivos infectados para usarla por primera vez». dijeron los investigadores. Black Lotus Labs cree que Chaos es una rama de Kaiji, un software de botnet para servidores AMD e i386 basados ​​en Linux para realizar ataques DDoS. Desde entonces, Chaos ha sido su Habiendo ganado su propia autonomía, ha ganado una variedad de nuevas características, incluidos módulos para nuevas arquitecturas, la capacidad de ejecutarse en Windows y la capacidad de propagarse mediante la explotación de agujeros de seguridad y la recopilación de claves SSH. Las direcciones indican que las infecciones del caos están más concentradas en Europa, con puntos de acceso más pequeños en las Américas y en la región Asia-Pacífico.
Los investigadores de Black Lotus Labs Black Lotus Labs escribieron:

Durante las primeras semanas de septiembre, nuestro emulador de host Chaos recibió varios comandos DDoS dirigidos a los dominios o direcciones IP de unas dos docenas de organizaciones. Usando nuestra telemetría global, identificamos múltiples ataques DDoS que coincidían con el período de tiempo, la IP y el puerto de los comandos de ataque que recibimos. Los tipos de ataques eran generalmente multivectoriales, utilizando UDP y TCP/SYN en varios puertos, y el volumen a menudo aumentaba durante varios días. Las empresas objetivo incluyeron juegos, servicios financieros y tecnología, medios y entretenimiento, y hospedaje. Incluso hemos observado ataques a proveedores de DDoS-as-a-Service y un intercambio de criptominería. En general, los destinos incluyeron EMEA, APAC y Norteamérica. Una empresa de juegos de azar fue el objetivo de un ataque mixto UDP, TCP y SYN en el puerto 30120. Del 1 al 5 de septiembre, la empresa recibió una avalancha de tráfico superior a su volumen típico. Un desglose del tráfico para el período anterior y durante el período de ataque muestra una avalancha de tráfico que se envía al puerto 30120 desde aproximadamente 12 000 direcciones IP diferentes, aunque parte de este tráfico puede indicar una suplantación de IP.
Black Lotus Labs Algunos de los objetivos del ataque incluyeron proveedores de DDoS-as-a-Service. Uno se comercializa a sí mismo como un factor de estrés y arranque de IP de primera calidad que ofrece desvío de CAPTCHA y capacidades DDoS «únicas» en la capa de transporte. A mediados de agosto, nuestra visibilidad mostró un aumento masivo en el tráfico, aproximadamente cuatro veces el volumen más alto registrado en los 30 días anteriores. El 1 de septiembre siguió un aumento aún mayor de más de seis veces los niveles normales de tráfico.
Agrandar / Volumen de ataque entrante de la organización DDoS-as-a-ServiceBlack Lotus Labs

Las dos cosas más importantes que las personas pueden hacer para prevenir las infecciones de Chaos son mantener todos los enrutadores, servidores y otros dispositivos completamente actualizados y usar contraseñas seguras y autenticación multifactor basada en FIDO2 siempre que sea posible. Un recordatorio para los propietarios de enrutadores en pequeñas oficinas de todo el mundo: la mayoría de los programas maliciosos para enrutadores no pueden sobrevivir a un reinicio. Considere reiniciar su dispositivo cada semana. Cualquiera que use SSH siempre debe usar una clave criptográfica para la autenticación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.