Un investigador de ciberseguridad ha descubierto un nuevo malware bautizado como Silex, dirigido a dispositivos IoT; ya son más de 2.000 dispositivos los que se han bloqueado en tan solo unas horas y continuamente, se siguen registrando nuevas infecciones.
El malware Silex destruye el almacenamiento de los dispositivos infectados, elimina las reglas de firewall y borra las configuraciones de red antes de detener el sistema. La única forma de recuperar dispositivos infectados es reinstalar manualmente el firmware del dispositivo.
Silex no es el primer malware IoT que se ha visto con este comportamiento, en 2017 BrickerBot bloqueó millones de dispositivos en todo el mundo.
El malware IoT está dirigido a cualquier sistema similar a Unix con credenciales de inicio de sesión predeterminadas, de acuerdo al investigador, aprovecha una versión de shell Bash para apuntar a cualquier arquitectura que ejecute un sistema operativo tipo Unix.
Esta nueva amenaza utiliza una lista de credenciales predeterminadas conocidas de dispositivos IoT para intentar iniciar sesión en el dispositivo afectado y así, realizar acciones maliciosas. El malware escribe datos aleatorios desde la ruta /dev/random a cualquier almacenamiento montado que encuentre.
El malware podría bloquear los servidores Linux que tienen puertos Telnet abiertos que usen credenciales predeterminadas, después de establecer una conexión, el bot descarga el binario y confirma el shell de busybox (programa que combina muchas utilidades estándares de Unix en un solo ejecutable pequeño) para luego ejecuta los comandos de bricking. La dirección IP 185[.]162[.]235[.]56 detrás de los ataques observados se encuentra en un servidor de VPS propiedad de novinvps.com, el cual se opera desde Irán.
Según el autor del malware, señala que ha abandonado definitivamente la botnet HITO (otra botnet creada por el desarrollador) para dedicarse completamente a Silex y con el propósito de implementar otras características destructivas, como la capacidad de secuestro de sesiones vía SSH, agregar exploits, etc.
REFERENCIA
COMENTARIOS