Confira !!
Pesquisadores de segurança dizem que descobriram outra variedade de malware que foi criada especificamente para infectar servidores baseados em Linux e dispositivos inteligentes de Internet das Coisas (IoT), e depois abusam desses sistemas para iniciar ataques DDoS.
Chamado Kaiji, esse novo malware foi detectado na semana passada por um pesquisador de segurança chamado MalwareMustDie e pela equipe do Intezer Labs .
O malware é muito diferente de outras linhagens de IoT, principalmente porque está escrito na linguagem de programação Go, em vez de C ou C ++, os dois idiomas em que a maioria dos malwares da IoT é codificada atualmente.
O malware Go é raro, não porque não seja eficiente, mas porque já existem muitos projetos C ou C ++ disponíveis gratuitamente no GitHub e em fóruns de hackers que tornam a criação de uma botnet IoT uma operação simples.
Atualmente, poucos autores de malware da IoT gastam seu tempo codificando uma botnet do zero. De fato, a grande maioria das redes de bots da IoT são apenas uma mistura de diferentes partes e módulos retirados de várias linhagens, combinados em novas variações das mesmas antigas bases de códigos de redes de bots.
"O ecossistema de botnet da Internet das Coisas (IoT) é relativamente bem documentado por especialistas em segurança", disse Paul Litvak, analista de malware da Intezer, que analisou o código em um relatório publicado ontem.
"Não é sempre que você vê as ferramentas de uma botnet escritas do zero."
KAIJI SE ESPALHA ATRAVÉS DE ATAQUES DE FORÇA BRUTA SSH
De acordo com Litvak e MalwareMustDie, Kaiji já foi visto na natureza, espalhando-se lentamente pelo mundo, fazendo novas vítimas.
O pesquisador da Intezer diz que, no momento, a rede de bots não é capaz de usar explorações para infectar dispositivos não corrigidos. Em vez disso, a botnet Kaiji executa ataques de força bruta contra dispositivos IoT e servidores Linux que deixaram sua porta SSH exposta na Internet.
Somente a conta "raiz" é direcionada, diz Litvak. O motivo é que a botnet precisa de acesso root aos dispositivos infectados, a fim de manipular pacotes de rede brutos para os ataques DDoS que eles desejam realizar e as outras operações que eles desejam realizar.
Depois de obter acesso à conta raiz de um dispositivo, o Kaiji usará o dispositivo de três maneiras. Primeiro, para ataques DDoS. Segundo, para realizar mais ataques de força bruta SSH contra outros dispositivos. Terceiro, ele rouba todas as chaves SSH locais e se espalha para outros dispositivos que a conta raiz conseguiu no passado.
O KAIJI PARECE AINDA ESTAR EM DESENVOLVIMENTO
Litvak diz que a botnet, apesar de ter a capacidade de lançar seis tipos diferentes de ataques DDoS, era claramente um trabalho em andamento.
O código carecia de recursos quando comparado a outras redes de bots mais estabelecidas, continha a string "demo" em alguns lugares, e o módulo rootkit costumava se chamar muitas vezes e esgotar a memória do dispositivo, causando um acidente.
Além disso, os servidores de comando e controle Kaiji também costumavam ficar offline, deixando os dispositivos infectados sem nenhum servidor mestre e expostos a serem invadidos por outras redes bot.
Mas enquanto essa botnet não era uma ameaça agora, isso não significa que não será no futuro. O MalwareMustDie e o Litvak agora estão acompanhando sua evolução.
Os dois pesquisadores também concordam com o fato de que a botnet parece ser obra de um desenvolvedor chinês, uma vez que muitas funções no código, enquanto escritas em inglês, eram meras transliterações de termos chineses.
FRAGMENTAÇÃO DE BOTNET
O Kaiji é agora a mais recente botnet da Internet das Coisas para surgir no cenário de malware da Internet das Coisas, que nos últimos meses teve alguns desenvolvimentos interessantes.
Longe vão os dias das redes de bots que infectam mais de 100.000 ou 500.000 dispositivos. Hoje, a maioria das botnets da IoT raramente ultrapassa 15.000 a 20.000 dispositivos infectados, e esses são apenas os bem-sucedidos.
Devido à prevalência de kits de botnet de código aberto, agora existem centenas de botnets ativas diariamente, todas lutando para infectar e controlar o mesmo número de dispositivos IoT. Como resultado, todo o mercado de botnet da Internet das Coisas agora está fragmentado e dividido entre um grande número de participantes menores.
Atualmente, uma das maiores botnets do mundo é a botnet da Mozi, que, segundo um relatório do Black Lotus Labs da CenturyLink , conseguiu infectar mais de 16.000 bots nos últimos quatro meses.
Outras botnets recentes notáveis incluem a nova variedade de malware Hoaxcalls IoT, Mukashi e dark_nexus .
Fonte
Até a próxima !
Nenhum comentário:
Postar um comentário