Durante el año pasado se hizo conocida la red Mirai, que controlaba aparatos para hacer ataques de denegación de servicio (DDoS). Ahora, una nueva botnet denominada Reaper IoT ha adquirido volumen, controlando principalmente cámaras de seguridad IP y routers domésticos. Aunque los ataques han disminuido esta semana, investigadores temen que infecte a los dispositivos listados en su infraestructura próximamente.
PUBLICIDAD
Una botnet consiste en una red de dispositivos informáticos que han sido controlados para operar de forma remota sin el permiso de los propietarios. La forma de obtener el control, es mediante un malware o código malicioso que encuentra vulnerabilidades en los equipos. Dentro de los aparatos vulnerables se encuentran gran parte de los dispositivos inteligentes que se conectan al internet de las cosas, como drones, cámaras IP, celulares, etc. Los propósitos de estas redes pueden variar, aunque usualmente de utilizan para hacer DDoS, propagar virus, enviar spam o minar criptomonedas.
De momento más 20 mil dispositivos se encuentran secuestrados en la red zombi, aunque cerca de dos millones están listados en su infraestructura de mando y control (usualmente abreviado como C2), los cuales podrían ser atacados en cualquier momento. Según los expertos, la red está compuesta principalmente por cámaras de seguridad basadas en IP, grabadoras de video en red (NVR), grabadoras de video digital (DVR) y routers caseros. El malware ha evolucionado de tal forma que afecta a proveedores como D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology, entre otros.
Más ofensivo que Mirai
Reaper IoT está basada en una metodología parecida a la del malware Mirai, red descubierta durante octubre del año pasado, utilizada principalmente para realizar ataques de denegación de servicio (DDoS) mediante dispositivos del IoT, aunque mantiene diferencias. Investigadores de la firma de seguridad china Qihoo 360 Netlab, han analizado la red zombi, consignando que parte del código pertenece a Mirai, aunque se le han añadido funciones nuevas, que vuelven a la red mucho más intimidante.
Dentro de las diferencias, se encuentran métodos de programación distintos. Por un parte, Mirai analiza los puertos de los dispositivos (Telnet) para intentar iniciar sesión mediante una lista preestablecida de credenciales. Reaper, en tanto, no se basa únicamente en un escáner, sino que explota vulnerabilidades directamente para hacerse del control de los artefactos sin parches de seguridad. Tras obtener acceso, los agrega a su infraestructura para aprovechar su hardware y funciones.
Los investigadores han señalado que la botnet se encuentra en una etapa naciente de desarrollo, lo que posibilita tomar medidas más oportunamente, aunque los exploits utilizados igualmente se van actualizando constantemente conforme aparecen nuevas vulnerabilidades.