Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

La botnet HNS ya controla más de 32.000 dispositivos IoT

  • Actualidad

Seguridad, ataque, hacker

Denominada Hide 'N Seek (HNS), la botnet utiliza técnicas de comunicación avanzadas para explotar a las víctimas y construir su infraestructura. Incorpora una pluralidad de comandos tales como la exfiltración de datos, la ejecución del código y la interferencia con el funcionamiento de un dispositivo.

También puedes leer...

Todo sobre Spectre y Meltdown

SecOps a examen

Los mitos de las Brechas de Seguridad

La creación de un SOC

Cómo utilizar la Dark Web

Investigadores de Bitdefender han descubierto una botnet IoT emergente que utiliza técnicas avanzadas de comunicación para explotar a las víctimas y construir su infraestructura. Denominada HNS, fue detectada por primera vez el 10 de enero y luego se desvaneció en los días siguientes, solo para reaparecer el 20 de enero en una forma significativamente mejorada.

Esta botnet utiliza el mismo exploit que usó la botnet Reaper, y, a diferencia del resto de botnets IoT recientes, HNS no es una modificación de Mirai. De acuerdo con los análisis realizados, cada bot contiene una lista de IP de otros bots infectados, una lista que puede actualizarse en tiempo real a medida que se pierdan/ganen más bots. Además, se ha comprobado que los bots se mandan instrucciones y comandos unos a otros, similar a la base del protocolo P2P. Los comandos que pueden recibir y ejecutar son diversos, entre ellos la ejecución de código o la exfiltración de datos, aunque no se ha encontrado función DDoS en los dispositivos.

El bot se comporta como un gusano que genera listas de IP aleatorias para conseguir víctimas potenciales. Entonces inicia una conexión SYN con cada host de la lista a la espera de recibir respuesta por parte de estos desde uno de los puertos específicos. Una vez que la conexión ha sido establecida, el bot busca un banner específico ("buildroot login:") al cuál intenta conectar con las credenciales por defecto. En caso de fallar, la botnet intenta un ataque de diccionario usando una lista hardcodeada hasta conseguir acceso al nuevo dispositivo infectado. El bot no es persistente por lo que un reinicio del dispositivo infectado debería de ser suficiente para limpiarlo.

La botnet, que ya controla más de 32.000 dispositivos IoT, está experimentando un rediseño constante y una rápida expansión, desde Asia a Estados Unidos.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos