El número de nuevas muestras de malware que han aparecido este año, dirigid a dispositivos IoT (Internet of Things o Internet de las Cosas), se ha duplicado con respecto al año pasado. 

Honeypots instalados por investigadores de Kaspersky Lab que imitan un grupo de dispositivos conectados ejecutando Linux han atraído más de 7,200 muestras de diferentes malwares a lo largo de mayo, todas concentradas en infectar dispositivos conectados principalmente por Telnet y SSH. El año pasado, Karspersky detectó 3,200 muestras. 

"Después de apenas unos segundos vimos los primeros intentos de conexión al puerto Telnet abierto. En un periodo de 24 horas hubo decenas de cientos de intentos de conexión desde direcciones IP únicas", escribieron los investigadores en un reporte publicado hoy en Securelist.com

El otoño pasado, Mirai mostró el camino a los cibercriminales, utilizando malware para acorralar DVR’s, cámaras con capacidad IP y equipo de red casero para formar una botnet IoT gigante que fue usada para lanzar ataques DDoS a un número de blancos de alto perfil. El malware generó una cantidad de variantes e imitaciones incluyendo la destructiva familia de malware BricketBot que inutiliza dispositivos IoT vulnerables ejecutándose con Telnet expuesto al Internet con contraseñas predeterminadas.

Mientras que Kaspersky Lab expuso otros riesgos de ejecución de los dispositivos IoT inseguras, tales como forzar a una red casera a llevar a cabo actividades ilegales, la mayoría de los dispositivos victimizados se están uniendo a una botnet con dispositivos infectados de manera similar. 

"El creciente número de programas de malware dirigidos en dispositivos IoT e incidentes relacionados con seguridad demuestran la gravedad del problema de la seguridad en dispositivos inteligentes. El 2016 ha demostrado que éstas amenazas no son sólo conceptuales, sino de hecho bastante reales", escribieron los investigadores. "La competencia existente en el mercado DDoS impulsa a los cibercriminales a buscar nuevos recursos para lanzar ataques cada vez más poderosos".

Teniendo en cuenta los millones de dispositivos conectados funcionando, además de los puertos Telnet y SSH expuestos, credenciales predeterminads débiles o conocidas, el problema va empeorar exponencialmente. Esto es en gran parte porque muchos de estos dispositivos salen de fábrica en un estado vulnerable y aunque las actualizaciones de firmware están disponibles, pocos dispositivos tienen un mecanismo automático de actualización.

Además, algunos dispositivos que sí ofrecen capacidades de gestión remota a través de TR-069, implementan el protocolo de una manera insegura, dijo Kaspersky Lab.

"Este protocolo está diseñado para que el operador administre los dispositivos de manera remota y está basado en SOAP el cual, a su vez, utiliza el formato XML para enviar comandos", escribieron los investigadores. "Una vulnerabilidad fue detectada en el traductor de comandos". 

En el ataque masivo a Deutsche Telekom de noviembre pasado que afectó al Internet de 900 mil clientes de router DSL, telefonía y servicios de video fue posible gracias a la vulnerabilidad TR-069. Los atacantes pueden aprovecharse del problema y causar que un dispositivo descargue y ejecute una ataque que, en éste caso, impidió a los routeadores encontrar dominios. El vigilante malware Hajime se comporta de forma similar a Mirai, pero no tiene funcionalidad maliciosa. También aprovechó la vulnerabilidad del TR-069, pero sólo para propagarse y cerrar los puertos expuestos usados por Mirai.

También, Karspersky Lab indicó que las contraseñas de administrador predeterminadas que son, en muchos casos, las mismas no solo para un modelo en particular, sino para toda la línea de productos del fabricante. Muchas de las contraseñas son conocidas, fácilmente adivinables, o han sido expuestas en otras brechas de datos y filtraciones de contraseñas. Kaspersky Lab publicó una larga lista de combinaciones de credenciales predeterminadas usadas por el malware para acceder a dispositivos conectados, incluyendo aquellas que son usadas contra los puertos telnet y SSH.

Mientras tanto, la mayoría de los ataques capturados por Honeypots de Karspersky venían de DVRs y cámaras IP (63%), y de una gran cantidad de dispositivos de red y otros dispositivos no reconocibles.

De acuerdo a las fuentes, las direcciones IP que atacaban el honeypot de Kaspersky provenían de diversas geografías, especialmente China, Vietnam, Rusia, Brasil y Turquía. Kaspersky dijo que en 2017 ha detectado más de dos millones de intentos de más 11 mil direcciones IP únicas, la mayoría de Vietnam, Taiwán y Brasil.

"La botnet Miriai ha demostrado que los dispositivos inteligentes pueden ser empleadas para éste propósito; en la actualidad, hay miles de millones de estos dispositivos por todo el mundo y para 2020 su número crecerá de 20 a 50 miles de millones de dispositivos, de acuerdo a predicciones de analistas de diferentes compañías", escribieron los investigadores.

Artículos relacionados: 

• Botnets
• ¿Qué es y cómo funciona un ataque DDoS?
• Sistemas de detección, los siguientes pasos