El malware nunca antes visto ha infectado cientos de dispositivos Linux y Windows

Los investigadores han revelado una pieza de malware multiplataforma nunca antes vista que ha infectado una amplia gama de dispositivos Linux y Windows, incluidos enrutadores de oficinas pequeñas, cajas FreeBSD y servidores de grandes empresas.

Black Lotus Labs, el brazo de investigación de la firma de seguridad Lumen, llama al malware Chaos, una palabra que aparece repetidamente en los nombres de funciones, certificados y nombres de archivos que utiliza. Chaos surgió a más tardar el 16 de abril, cuando el primer grupo de servidores de control se puso en marcha en la naturaleza. Desde junio hasta mediados de julio, los investigadores encontraron cientos de direcciones IP únicas que representan dispositivos Chaos comprometidos. Los servidores de prueba utilizados para infectar nuevos dispositivos se han multiplicado en los últimos meses, pasando de 39 en mayo a 93 en agosto. A partir del martes, el número llegó a 111.

Black Lotus ha observado interacciones con estos servidores provisionales tanto desde dispositivos Linux integrados como desde servidores empresariales, incluido uno en Europa que albergaba una instancia de GitLab. Hay más de 100 muestras únicas en la naturaleza.

“La potencia del malware Chaos se deriva de algunos factores”, escribieron los investigadores de Black Lotus Labs en un miércoles por la mañana. entrada en el blog. “Primero, está diseñado para funcionar en varias arquitecturas, incluidas: ARM, Intel (i386), MIPS y PowerPC, además de los sistemas operativos Windows y Linux. Segundo, a diferencia de las redes de bots de distribución de ransomware a gran escala como Emotet que aprovechan el spam para propagarse y crecer, Chaos se propaga a través de CVE conocidos y claves SSH robadas y forzadas brutamente”.

CVE se refiere al mecanismo utilizado para rastrear vulnerabilidades específicas. El informe del miércoles se refirió solo a unos pocos, incluidos CVE-2017-17215 y CVE-2022-30525 que afectan a los firewalls vendidos por Huawei, y CVE-2022-1388, una vulnerabilidad extremadamente grave en balanceadores de carga, firewalls y equipos de inspección de red vendidos por F5. . Las infecciones de SSH que utilizan fuerza bruta de contraseñas y claves robadas también permiten que Chaos se propague de una máquina a otra dentro de una red infectada.

Chaos también tiene varias capacidades, incluida la enumeración de todos los dispositivos conectados a una red infectada, la ejecución de shells remotos que permiten a los atacantes ejecutar comandos y la carga de módulos adicionales. Combinadas con la capacidad de ejecutarse en una gama tan amplia de dispositivos, estas capacidades han llevado a Black Lotus Labs a sospechar que Chaos “es obra de un actor ciberdelincuente que está cultivando una red de dispositivos infectados para aprovechar el acceso inicial, los ataques DDoS y las criptomonedas”. minería”, dijeron investigadores de la compañía.

Black Lotus Labs cree que Chaos es una rama de kaiji, una pieza de software de botnet para servidores AMD e i386 basados ​​en Linux para realizar ataques DDoS. Desde su creación, Chaos ha adquirido una gran cantidad de nuevas características, incluidos módulos para nuevas arquitecturas, la capacidad de ejecutarse en Windows y la capacidad de propagarse a través de la explotación de vulnerabilidades y la recopilación de claves SSH.

Las direcciones IP infectadas indican que las infecciones de Chaos se concentran más en Europa, con puntos de acceso más pequeños en América del Norte y del Sur y Asia Pacífico.

Los investigadores de Black Lotus Labs escribieron:

Durante las primeras semanas de septiembre, nuestro emulador de host Chaos recibió múltiples comandos DDoS dirigidos a aproximadamente dos docenas de dominios o direcciones IP de organizaciones. Usando nuestra telemetría global, identificamos múltiples ataques DDoS que coinciden con el marco de tiempo, la IP y el puerto de los comandos de ataque que recibimos. Los tipos de ataques eran generalmente multivectores aprovechando UDP y TCP/SYN a través de múltiples puertos, a menudo aumentando en volumen en el transcurso de varios días. Las entidades objetivo incluyeron juegos, servicios financieros y tecnología, medios y entretenimiento, y hospedaje. Incluso observamos ataques dirigidos a proveedores de DDoS como servicio y un intercambio de criptominería. En conjunto, los objetivos abarcaron EMEA, APAC y Norteamérica.

Una empresa de juegos fue objeto de un ataque mixto UDP, TCP y SYN en el puerto 30120. Del 1 al 5 de septiembre, la organización recibió una avalancha de tráfico por encima de su volumen habitual. Un desglose del tráfico para el período de tiempo antes y durante el período de ataque muestra una avalancha de tráfico enviado al puerto 30120 por aproximadamente 12 000 IP distintas, aunque parte de ese tráfico puede ser indicativo de suplantación de IP.

Algunos de los objetivos incluían proveedores de DDoS como servicio. Uno se comercializa a sí mismo como un factor de estrés y arranque de IP de primer nivel que ofrece capacidad de desvío de CAPTCHA y capacidades DDoS de capa de transporte “únicas”. A mediados de agosto, nuestra visibilidad reveló un aumento masivo en el tráfico aproximadamente cuatro veces mayor que el volumen más alto registrado durante los 30 días anteriores. Esto fue seguido el 1 de septiembre por un pico aún mayor de más de seis veces el volumen de tráfico normal.

Las dos cosas más importantes que las personas pueden hacer para prevenir las infecciones de Chaos son mantener todos los enrutadores, servidores y otros dispositivos completamente actualizados y usar contraseñas seguras y autenticación multifactor basada en FIDO2 siempre que sea posible. Un recordatorio para los propietarios de enrutadores de pequeñas oficinas en todas partes: la mayoría del malware de enrutador no puede sobrevivir a un reinicio. Considere reiniciar su dispositivo cada semana más o menos. Aquellos que usan SSH siempre deben usar una clave criptográfica para la autenticación.