La botnet IPStorm puede ser alquilada como una red proxy anónima
- Endpoint
Bitdefender ha determinado que el objetivo principal de la botnet es convertir los dispositivos infectados en proxies como parte de un plan con fines lucrativos. Su infraestructura modular está diseñada para encontrar y comprometer nuevos objetivos e impulsar nuevas versiones del malware.
Recomendados: La persistencia del ransomware Webinar Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar La era de la experiencia de cliente sin contacto Leer |
Descubierto por investigadores de la empresa Anomali en junio de 2019, Interplanetary Storm (IPStorm) es una botnet escrita en Golang que ha evolucionado constantemente desde entonces, ya que sus creadores incorporaron nuevas funciones en un intento de ocultar sus actividades con tráfico inofensivo. Los investigadores de Bitdefender han descubierto que IPStorm tiene el potencial de ser utilizada como una red proxy anónima como servicio, que podría alquilarse a otros ciberdelincuentes mediante un modelo basado en suscripción.
En su nueva versión, IPStorm se propaga atacando los sistemas Unix, incluidos Linux, Android y Darwin, que ejecutan servidores SSH conectados a Internet con credenciales débiles o servidores ADB no seguros. Sus capacidades incluyen la capacidad de crear una puerta trasera en un dispositivo que ejecute comandos de shell y generar tráfico malicioso escaneando Internet e infectando otros dispositivos. Bitdefender ha determinado que el objetivo principal de la botnet es convertir los dispositivos infectados en proxies como parte de un plan con fines lucrativos. La mayoría de las víctimas de esta botnet se encuentra en Asia, aunque tiene una presencia global, con víctimas también en España.
La monitorización constante del ciclo de vida de desarrollo de Interplanetary Storm ha revelado que los ciberdelincuentes detrás de ella han dominado el uso de Golang y las mejores prácticas de desarrollo, así como el ocultamiento de los nodos de gestión de botnets. Al mismo tiempo, Interplanetary Storm tiene una infraestructura compleja y modular diseñada para encontrar y comprometer nuevos objetivos, impulsar y sincronizar nuevas versiones del malware, ejecutar comandos arbitrarios en máquinas infectadas y comunicarse con un servidor C2 que expone una API.