La botnet InterPlanetary Storm se extiende a 84 países, entre ellos España
- Endpoint
Si bien la botnet que está construyendo este malware aún no tiene una funcionalidad clara, les da a los operadores una puerta trasera a los dispositivos infectados para que luego puedan usarse para criptominería, DDoS u otros ataques a gran escala. Ya hay 13.500 máquinas infectadas.
|
Recomendados: La persistencia del ransomware Webinar Amenazas a las empresas en España durante la pandemia Leer |
Se ha descubierto una nueva variante del malware InterPlanetary Storm, que viene con nuevas tácticas de detección y evasión, y que ahora se dirige a dispositivos Mac y Android, además de Windows y Linux. Los investigadores afirman que el malware está construyendo una botnet formada por unas 13.500 máquinas infectadas en 84 países de todo el mundo, y ese número sigue creciendo. La mitad de las máquinas infectadas se encuentran en Hong Kong, Corea del Sur y Taiwán. Otros sistemas infectados se encuentran en Rusia, Brasil, Estados Unidos, China y España.
“Si bien la botnet que está construyendo este malware aún no tiene una funcionalidad clara, les da a los operadores una puerta trasera a los dispositivos infectados para que luego puedan usarse para criptominería, DDoS u otros ataques a gran escala”, aseguran investigadores de Barracuda.
La primera variante de InterPlanetary Storm se descubrió en mayo de 2019 y estaba dirigida a máquinas Windows. En junio, también se informó de una variante para máquinas Linux dirigida a dispositivos IoT, como routers. La botnet, que está escrita en Go, utiliza la implementación Go de libp2p, que es un marco de red que permite a los usuarios escribir aplicaciones descentralizadas peer-to-peer. Este marco era originalmente el protocolo de red de InterPlanetary File System (IPFS), en el que los investigadores basaron el nombre del malware.
El malware se propaga a través de ataques de fuerza bruta en dispositivos con Secure Shell (SSH), un protocolo de red criptográfico para operar servicios de red de forma segura a través de una red insegura. Otro método de infección es acceder a los puertos Apple Desktop Bus (ADB) abiertos, que conectan dispositivos de baja velocidad a las computadoras.
“El malware detecta la arquitectura de la CPU y el sistema operativo en ejecución de sus víctimas, y puede ejecutarse en máquinas basadas en ARM, una arquitectura que es bastante común con routers y otros dispositivos IoT”, dijeron los investigadores.
La variante más nueva del malware tiene varios cambios importantes, entre los que destaca la ampliación de su orientación para incluir dispositivos Mac y Android. Sin embargo, la nueva variante también puede actualizarse automáticamente a la última versión de malware disponible y eliminar otros procesos en la máquina que presentan una amenaza, como depuradores o malware de la competencia (mirando cadenas como "rig", "xig" y "debug ”).
Una vez infectados, los dispositivos se comunican con el servidor de comando y control (C2) para informar que forman parte de la botnet. Los investigadores dijeron que las ID de cada máquina infectada se generan durante la infección inicial y se reutilizarán si la máquina se reinicia o si el malware se actualiza. Una vez descargado, también envía archivos de malware a otros nodos de la red.
