Botnet basada en Windows propaga el malware Mirai

Botnet basada en Windows propaga el malware Mirai

Los expertos de Kaspersky Lab están analizando el primer propagador del malware Mirai basado en Windows como parte de un esfuerzo concertado para eliminar las redes de robots Mirai libremente disponibles. El robot basado en Windows parece haber sido creado por un desarrollador con habilidades más avanzadas que las de los atacantes que desencadenaron los enormes ataques de denegación de servicio (DDoS) impulsados por Mirai a finales de 2016, un hecho que tiene implicaciones preocupantes sobre el uso y objetivos futuros de ataques basados ​​en Mirai. Es probable que el autor del malware sea de habla china. Datos de Kaspersky Lab muestran ataques en alrededor de 500 sistemas únicos en 2017, y los mercados emergentes que han invertido fuertemente en tecnologías conectadas podrían estar particularmente en riesgo.

El propagador basado en Windows es más rico y robusto que el código base original de Mirai, pero la mayoría de los componentes, técnicas y funcionalidades de este nuevo propagador tienen varios años. Su capacidad para la propagación del malware Mirai es limitada: sólo puede llevar los robots Mirai de un host infectado basado en Windows a un dispositivo IoT vulnerable basado en Linux si es capaz de forzar con éxito una conexión telnet remota.

A pesar de esta limitación, el código es claramente el trabajo de un desarrollador más experimentado, aunque probablemente nuevo en el campo de Mirai. Artefactos, tales como pistas de idioma en el software, el hecho que el código se compiló en un sistema chino, con servidores host mantenidos en Taiwán, y el abuso de certificados de firma de código robados de empresas chinas, sugieren que el desarrollador probablemente hable chino.

Según los datos de telemetría de Kaspersky Lab, casi 500 sistemas únicos fueron atacados en 2017 por este bot de Windows. Estos intentos de ataque fueron detectados y bloqueados.

Basándonos en la geolocalización de direcciones IP involucradas en la segunda etapa del ataque, los países más vulnerables son mercados emergentes que han invertido fuertemente en tecnología conectada, como India, Vietnam, Arabia Saudita, China, Irán, Brasil, Marruecos, Turquía, Malawi, Emiratos Árabes Unidos, Pakistán, Túnez, Rusia, Moldavia, Venezuela, Filipinas, Colombia, Rumania, Perú, Egipto y Bangladesh.

Kaspersky Lab está trabajando con CERTs, proveedores de hosting y operadores de red para hacer frente a esta creciente amenaza a la infraestructura de Internet mediante la eliminación de un número significativo de servidores de comando y control. La eliminación rápida y exitosa de estos servidores minimiza el riesgo y la interrupción que presentan las crecientes redes de robots basadas en IoT. Kaspersky Lab ha ayudo a acelerar estos esfuerzos gracias su experiencia y relaciones con CERTs y proveedores alrededor del mundo.