Malware BrickerBot destruye dispositivos inseguros conectados a Internet

21/04/2017

Un nuevo tipo de ataque está apuntando a dispositivos inseguros de Internet de las Cosas, codificando su código y haciéndolos inútiles.

La firma de seguridad Radware descubrió por primera vez el malware BrickerBot recién encontrado el mes pasado después de que comenzó a atacar sus propios honeypots, registrando cientos de intentos de infección durante unos días. Cuando el malware se conecta a un dispositivo con sus nombres de usuario y contraseñas predeterminados, a menudo fácilmente encontrados en Internet, el malware daña el almacenamiento del dispositivo, lo que lleva a un ataque permanente de denegación de servicio (PDoS), también conocido como bricking (que en jerga significa "convertir en un ladrillo", en el sentido de que el dispositivo queda inutilizado).

En otras palabras, este ataque "daña tanto un sistema que requiere reemplazo o reinstalación de hardware", dijo Radware.

Se trata de una novedad de un problema de seguridad en curso con los dispositivos de Internet de las Cosas: botnets controladas por hackers, como el malware Mirai, típicamente infecta dispositivos inseguros que se enrolan como parte de ataques bandwidth-stealing para derribar sitios web con una gran cantidad de tráfico.

Al igual que la botnet de Mirai, la más famosa por derribar amplias franjas de Internet de Estados Unidos el año pasado en un ataque masivo de denegación de servicio distribuido (DDoS), el BrickerBot también usa "el mismo vector de explotación", realizando ataques de fuerza bruta a cuentas Telnet con listas de nombres de usuario y contraseñas disponibles.

Radware no tiene una lista de dispositivos conectados a Internet, como cámaras web, juguetes e incluso focos inteligentes, a riesgo de ser atacados, pero señaló varios tipos de dispositivos basados en Linux que ejecutan el conjunto de herramientas BusyBox que tienen su puerto Telnet abierto y se encuentran expuestos públicamente en Internet.

Los investigadores dijeron que los atacantes también tienen un atractivo por atacar dispositivos en redes Ubiquiti, que han sido atacados por hackers anteriormente.

Una vez dentro, el malware ejecuta una secuencia de comandos, que "intenta eliminar la puerta de enlace predeterminada, limpiar el dispositivo a través de rm -rf /* y deshabilitar las marcas de tiempo TCP, así como limitar el número máximo de hilos de kernel a uno", lo cual podría perturbar la memoria del dispositivo.

Los investigadores también dijeron que el malware agrega comandos adicionales para "limpiar todas las reglas de iptables y NAT, además de agregar una regla para eliminar todos los paquetes salientes", eliminando con eficacia cualquier rastro de su infección.

"Por desgracia, incluso después de realizar el restablecimiento de fábrica, la cámara no se recuperó y por lo tanto el dispositivo fue efectivamente inutilizado", dijo Radware.

Y, debido a que el "device-bricking bot" oculta su ubicación a través de la red de anonimato de Tor, no hay manera de saber de dónde provino el ataque, dijeron los investigadores.

La aparición de BrickerBot ha llevado al Equipo de Respuesta a Emergencias Cibernéticas (CERT) de Homeland Security a emitir una advertencia actualizada, señalando que "no hay información disponible en este momento sobre el tipo y el número de dispositivos utilizados para realizar estos ataques".

"Los sistemas de control suelen tener dispositivos accesibles a Internet instalados sin el conocimiento del propietario, poniendo a esos sistemas en mayor riesgo de ataque", dijo el asesor.

Los investigadores dijeron que una búsqueda de dispositivos podría apuntar que al menos 21 millones de dispositivos están en riesgo, pero las motivaciones para este nuevo ataque no se conocen.

Homeland Security sugiere cambiar las credenciales predeterminadas de un dispositivo y deshabilitar Telnet.