Publicaciones

Panorama de las amenazas para dispositivos IoT en 2023

La cantidad de dispositivos IoT (routers, cámaras, almacenamiento NAS, componentes domésticos inteligentes) crece año tras año. El portal Statista predice que superará los 29 000 millones en 2030. A medida que aumenta el número de dispositivos conectados, también crece la necesidad de protegerlos. Los primeros ataques masivos de malware contra dispositivos IoT se registraron en 2008 y, desde entonces, su número no ha hecho más que aumentar. Hemos analizado el panorama de las amenazas relevantes para los dispositivos IoT en 2023, así como los productos y servicios de la darknet relacionados con el hackeo de dispositivos conectados. En este artículo presentamos los principales resultados de nuestro estudio.

Vectores de ataque

Hay dos formas principales de infectar los dispositivos IoT: obtener por fuerza bruta las contraseñas fáciles y la explotación de vulnerabilidades en los servicios de red.

En el primer caso, el método más común es forzar las contraseñas de los servicios que usan el protocolo Telnet, un protocolo de texto sin cifrado muy popular en el entorno IoT. El éxito de la fuerza bruta para obtener contraseñas les permite a los ciberdelincuentes ejecutar cualquier comando y malware instalado en el dispositivo. Se obtienen resultados similares mediante la búsqueda de contraseñas por fuerza bruta para los servicios que utilizan el protocolo SSH, un protocolo más moderno que implica el cifrado del tráfico. Sin embargo, atacar el SSH requiere más recursos y hay menos servicios disponibles desde Internet que en el caso de Telnet.

Durante el primer semestre de 2023, el 97,91% de los intentos de usar fuerza bruta para obtener contraseñas registrados por nuestras trampas honeypot estaban relacionados con Telnet, mientras que el 2,09% con SSH. La mayoría de los dispositivos infectados que llevaron a cabo estos ataques se encontraba en China, India y Estados Unidos. Por la cantidad de ataques, China, Pakistán y Rusia estuvieron a la cabeza.

TOP 10 de países y territorios donde se encontraban los dispositivos que atacaron los honeypots de Kaspersky, primer semestre de 2023 (descargar)

TOP 10 países y territorios fuente de ataques a los honeypots de Kaspersky, primer semestre de 2023 (descargar)

Los ataques de fuerza bruta a contraseñas son bastante comunes porque a menudo los servicios Telnet y SSH de los dispositivos IoT están protegidos por contraseñas predeterminadas bien conocidas que los usuarios rara vez cambian. Además, en algunos casos, los dispositivos IoT tienen contraseñas principales no sustituibles establecidas por el fabricante.

Las vulnerabilidades en los servicios que se ejecutan en un dispositivo también pueden hacerlo vulnerable. El tipo más común de vulnerabilidad que explotan los atacantes es la introducción de comandos maliciosos al realizar peticiones a la interfaz web. Los daños causados por estos ataques pueden ser muy importantes, como en el caso de una vulnerabilidad en la implementación del protocolo TR-064, que los proveedores de internet utilizaban para configurar automáticamente dispositivos en la red local. Esta vulnerabilidad permitía a los atacantes enviar paquetes TR-064 sin autenticación, que explotaban para propagar el malware Mirai.

Sin importar el método de infección, los dispositivos IoT pueden ser atacados tanto por delincuentes desde sus servidores, como por el propio malware mediante el llamado mecanismo de autopropagación: la capacidad de los archivos maliciosos para detectar de forma independiente dispositivos vulnerables en Internet e instalar una copia de sí mismos en ellos utilizando varios métodos diferentes. En el segundo caso, el ataque también puede proceder de un dispositivo IoT previamente infectado.

Servicios ofrecidos en la Darknet: Ataques DDoS, botnets y vulnerabilidades de día cero en IoT

Entre los servicios relacionados con el IoT en la Darknet, el DDoS es el primero a tener en cuenta. Las redes de bots creadas en dispositivos IoT y utilizadas para llevar a cabo ataques DoS distribuidos se han vuelto más comunes en los anuncios de varios foros clandestinos y son muy solicitadas por los atacantes.

Traducción de la captura de pantalla

¡DDOS de un nuevo nivel!
Soy el prestador de servicios DDoS más famoso del mundo (me estoy adelantando).
No me iré por las ramas y te diré de inmediato por qué debes elegir mi servicio.
Nuestras ventajas:
1. Una botnet creada sobre la base de Medusa BotNet y que se ha estado cargando desde 2020. Usa el inicio de aproximadamente 50 navegadores en Windows (en una computadora) que pasan todas las pruebas de protección anti-DDoS.
El número de dispositivos de nuestra botnet varía de 10.000 a 80.000, es la botnet más grande de 2023 no sólo de dispositivos Windows, sino también de IOT.

Sólo en el primer semestre de 2023, los analistas de Kaspersky Digital Footprint Intelligence encontraron más de 700 anuncios de servicios de ataques DDoS en diversos foros de la Darknet.

Distribución del número de publicaciones relacionadas con los servicios de ataques DDoS por mes, primer semestre de 2023 ()

El precio de este servicio depende de muchos factores que afectan a la complejidad del ataque, como la protección DDoS de la víctima, el captcha y la verificación de JavaScript. En total, el coste del ataque oscila entre 20 dólares al día y 10 000 dólares al mes, y el coste medio de los anuncios estudiados fue de 63,5 dólares al día o 1 350 dólares al mes.

Los servicios de hackeo informático también se pueden comprar en la Darknet. En particular, los atacantes están buscando exploits para vulnerabilidades de día cero en los dispositivos del Internet de las Cosas.

Traducción de la captura de pantalla

Compro RCE en IoT de 0 días/1 día
¡PUEDES UTILIZAR UN GARANTE AUTOMÁTICO EN ESTE TEMA!
Compro RCE en IoT de 0 días/1 día
Garante

Traducción de la captura de pantalla

Busco vulnerabilidades de IoT
¡PUEDES UTILIZAR UN GARANTE EN ESTE TEMA!
Hola,
Quiero comprar exploits IoT con dispositivos ubicados en Corea
La arquitectura no importa

También puede encontrar ofertas para vender y comprar malware IoT en foros clandestinos. A veces, el propio malware va acompañado de infraestructura y utilidades adicionales. Por ejemplo, en la captura de pantalla siguiente, el vendedor ofrece un bot DDoS escrito por él mismo que cuenta con un servidor C2 y software para descargar el malware a través de Telnet o SSH:

Traducción de la captura de pantalla

Código fuente de botnet Lunix | DDoS
¡PUEDES UTILIZAR UN GARANTE EN ESTE TEMA!
Vendo bot para Linux. El bot ha sido probado y comprobado.
También te daré un manual y un kit de inicio para que crees tu red.
Componentes:
Servidor CnC
El bot en sí
Telnet, fuerza bruta
Cargador Telnet/SSH
Generador de carga útil (comandos de una línea para instalar el bot)
2 scripts sh, el primero para ensamblar utilidades, el segundo para ensamblar el bot en sí
El bot está ensamblado para varios sistemas a la vez para ser compatible con enrutadores, etc.
Ahora sobre el bot en sí:
TCP/UDP flood (tcp – syn, preguntar a syn|ack, ack|psh, todos)
Si el CnC se desconecta, intentará reestablecer la conexión hasta que se conecte
Firma de comando opcional en caso de robo del servidor
el comando matará todos los bots del sistema
Inicio automático a través de /etc/init.d
No es una bifurcación de Mirai, el CnC en sí se creó basándose en el cnc de qBot.
Precio: 200$

A continuación se muestra una captura de pantalla de un anuncio en el que el delincuente no sólo busca malware, sino también ayuda para instalarlo.

Traducción de la captura de pantalla

Compro botnet IoT
¡PUEDES UTILIZAR UN GARANTE EN ESTE TEMA!
Ten en cuenta que este usuario está bloqueado si deseas cerrar un trato con él
Estoy buscando botnets que funcionen y tengan la función de fuerza bruta, etc. Me sirve una versión funcional/actualizada de mirai/qbot
Así como asistencia con su instalación.

En algunos casos, los atacantes especifican los tipos de dispositivos IoT que buscan o para los que venden malware.

Captura de pantalla de un anuncio del flujo monitorizado por Kaspersky Threat Intelligence Portal

Captura de pantalla de un anuncio del flujo monitorizado por Kaspersky Threat Intelligence Portal

Traducción de la captura de pantalla

Compro botnet IoT / Criptominero IoT
Compro botnet IoT o Criptominero IoT (original o público reelaborada)
Lo principal es la producción/rentabilidad estable del criptominero. El soporte de software después de la compra es bienvenido =)
Propósito principal: cámaras, enrutadores.
El precio depende de la funcionalidad y de las detecciones. Desde $100 y hasta […] Primer contacto por privado.

A veces, también se venden en la Darknet redes de dispositivos ya infectados, aunque estos anuncios no son muy comunes. Por ejemplo, el usuario de la captura de pantalla siguiente está buscando un comprador para una botnet de 200 routers y cámaras ubicada en Argentina.

Traducción de la captura de pantalla

¿Se puede vender?

Hola a todos. Tengo poco más de 200 dispositivos IoT argentinos. Sobre todo enrutadores y cámaras. Sé que los enrutadores se pueden vender, pero ¿qué pasa con las cámaras? ¿Y dónde puedo encontrar compradores? Navegué por los foros y encontré uno, pero no me contesta.

Objetivos y tipos de malware que atacan el IoT

Los atacantes que infectan dispositivos IoT pueden perseguir diferentes objetivos. En concreto, pueden seguir utilizando el equipo infectado como herramienta para ciberataques, enmascarar tráfico malicioso, utilizar la energía del dispositivo para la criptominería o exigir un rescate para recuperar el acceso al mismo. Asimismo, algunos pueden atacar cualquier dispositivo IoT, mientras que otros sólo atacan determinados tipos de dispositivos capaces de realizar las tareas que les interesan. A continuación enumeramos los tipos de malware IoT en función de su objetivo.

Redes de bots DDoS

El tipo más común de malware para dispositivos IoT son los troyanos, que secuestran el control del dispositivo para lanzar ataques DoS contra diversos servicios. Al malware DDoS, le da igual qué dispositivos atacar: la funcionalidad que interesa a los atacantes (la capacidad de enviar peticiones a través de la red) está disponible en todos los dispositivos. La mayoría de estos programas maliciosos son modificaciones del código Mirai, pero hay muchas otras familias de programas maliciosos que difieren en sus métodos de distribución y fijación al dispositivo.

Por ejemplo, el malware RapperBot, aunque toma prestadas algunas partes del código de Mirai, está compuesto en su mayor parte por código original. Es capaz de realizar la captura por fuerza bruta inteligente de contraseñas basándose en el análisis del primer mensaje de solicitud de autenticación que recibe del servicio Telnet. Según este post, el malware puede reconocer el tipo de dispositivo y buscar sólo contraseñas en dispositivos de dicho tipo, lo que aumenta en sumo grado la eficacia de su autopropagación.

Ransomware

A diferencia del malware DDoS, el ransomware ataca sobre todo dispositivos IoT que contienen datos de los usuarios: los almacenamientos NAS. Un ejemplo destacado de encriptador IoT es DeadBolt, que afectó a miles de dispositivos NAS de QNAP en 2022. El ataque aprovechaba la vulnerabilidad CVE-2022-27593, que permite a los atacantes modificar archivos del sistema en un dispositivo. Como resultado, los archivos de los usuarios se cifraban y la interfaz del dispositivo se bloqueaba con un mensaje en el que se decía que había que pagar un rescate de 0,03 BTC para recuperar los datos. El fabricante ha publicado una actualización que cierra la vulnerabilidad, pero estos ataques aún persisten.

Criptomineros

A pesar de la relativa ineficacia de la criptominería en dispositivos IoT debido a su baja potencia de procesamiento, los atacantes han intentado minar la criptomoneda Bitcoin durante las campañas de Mirai. Sin embargo, estos intentos no han sido muy frecuentes.

DNS changer

Los atacantes también pueden utilizar dispositivos IoT comprometidos para atacar a los usuarios que se conectan a ellos. En 2022, por ejemplo, la campaña de malware Roaming Mantis (también conocida como Shaoye) distribuyó una aplicación para Android, una de cuyas funciones era cambiar la configuración DNS de los routers Wi-Fi a través de la interfaz de administración. El malware obtenía acceso al router si utilizaba credenciales predeterminadas, como admin:admin. En dicho dispositivo, cambiaba la configuración para que el router utilizara un servidor DNS controlado por el atacante. Este servidor redirigía a todos los que se conectaban al router a un recurso que determinaba el sistema operativo del cliente: si el dispositivo ejecutaba Android, el recurso distribuía archivos APK maliciosos, mientras que los usuarios de iOS eran redirigidos a páginas de phishing.

Bots para proxies

Otra forma habitual de utilizar dispositivos infectados es hacerlo como servidores proxy: nodos intermedios en la red que redirigen el tráfico del atacante, lo que dificulta su seguimiento. Lo más frecuente es que estos servidores proxy se utilicen para enviar spam, eludir los sistemas antifraude y lanzar diversos ataques contra la red.

Malware para el Internet de las Cosas: Competencia y persistencia

Una de las principales características del malware IoT es que existe muchas familias diferentes basadas en el malware Mirai descubierto en 2016, cuyo código fuente se publicó en un foro clandestino. Esto llevó al rápido desarrollo de cientos de modificaciones, que difieren en cómo se realizan los ataques DoS, los diccionarios para obtener contraseñas por fuerza bruta y la elección de vulnerabilidades para la autopropagación.
A su vez, el gran número de actores ha provocado una feroz competencia entre los ciberdelincuentes, no sólo entre los especializados en DDoS, sino también entre los que atacan en general al Internet de las Cosas. Por ello, el malware IoT ha empezado a incluir funciones para “neutralizar” a los competidores directamente en el dispositivo infectado e impedir que se vuelva a infectar.
La táctica más popular de los atacantes para obtener acceso es añadir reglas de cortafuegos que bloqueen los intentos de conexión al dispositivo; algo menos común es desactivar los servicios de administración remota de dispositivos. Para combatir a los competidores ya presentes en el dispositivo, se suelen utilizar varias técnicas de detección, como comprobar los nombres de los procesos, los puertos que utilizan y analizar la memoria en busca de patrones “maliciosos”. Si el malware IoT detecta algo, termina los procesos ajenos y borra los archivos ajenos. Así es como los atacantes luchan entre sí por el control del dispositivo.

Otras amenazas relacionadas con las vulnerabilidades de los dispositivos IoT

Como hemos visto en los anuncios de compra-venta de acceso a dispositivos IoT comprometidos, las cámaras de video conectadas a Internet están entre los tipos de dispositivos que interesan a los atacantes. Las formas de monetizar el acceso a la cámara pueden variar. Puede utilizarse no sólo como una “computadora”, por ejemplo, para extraer criptomonedas o alojar malware para lanzar ataques DDoS, o como “router” (“proxy” o VPN para anonimizar diversas actividades maliciosas), sino también (¡sorpresa!) para el fin al que está destinada.

Un ejemplo ilustrativo es un incidente reciente protagonizado por una residente de la región de Moscú que descubrió en sitios web chinos materiales de carácter privado extraídos de una cámara de video doméstica que había comprado en AliExpress para vigilar a su perro.

El investigador de seguridad Paul Marrapese ha estudiado el segmento de usuarios de videocámaras y ha descubierto que tienen problemas de seguridad informática y, por desgracia, los fabricantes de dispositivos no siempre los solucionan. Por ejemplo, descubrió vulnerabilidades críticas en los protocolos y el firmware de algunas cámaras de video, y uno de los proveedores nunca respondió para solucionar las vulnerabilidades.

Además, nos gustaría señalar que a menudo los fabricantes de este tipo de cámaras utilizan diversas implementaciones de protocolos P2P (peer-to-peer). Por ejemplo, Shenzhen Yunni iLnkP2P y CS2 Network P2P, que se utilizan en más de cincuenta millones de dispositivos. Estas implementaciones, a su vez, cifran mal o no cifran el tráfico, lo que da a los atacantes la posibilidad de realizar un ataque MitM (Man-in-the-Middle), interceptando el tráfico del dispositivo para averiguar las credenciales del usuario o redirigir el flujo de video procedente de la cámara a sus propios recursos.

Según una investigación realizada por nuestros colegas de Trend Micro, no es inusual que se espíe la vida de los propietarios de videocámaras. Sin embargo, conviene recordar que, aparte de las propias cámaras, pueden convertirse en una herramienta de espionaje muchos otros dispositivos IoT que, a pesar de que su finalidad principal no está relacionada con la videovigilancia, también están equipados con una cámara. En particular, la capacidad de grabar audio y video en tiempo real está disponible en la mayoría de los dispensadores de comida inteligentes para mascotas. Su demanda está creciendo y el número de modelos se multiplica, llenando un nuevo segmento del mercado, pero los vendedores no siempre prestan la debida atención a su protección. Por ejemplo, el estudio de un dispensador de comida de una popular gama reveló toda una serie de vulnerabilidades y problemas de seguridad, cuya explotación convierte el dispositivo en una herramienta para espiar a los dueños de mascotas y abre otras oportunidades a los delincuentes.

Otro tipo de dispositivos IoT que requiere especial atención a las cuestiones de seguridad son los dispositivos inteligentes para niños. Por desgracia, no todos los proveedores se toman en serio la seguridad de estos dispositivos. Nos topamos por primera vez con el problema de su vulnerabilidad hace unos años, cuando uno de los fabricantes de relojes inteligentes para niños nos encargó investigar la madurez de seguridad de uno de sus productos utilizando la metodología IoT Security Maturity Model del Industry IoT Consortium. El proveedor no superó la certificación y no le emitimos ningún certificado: los problemas de seguridad del producto lo convirtieron básicamente en un dispositivo de seguimiento del niño y de todo lo que le rodeaba.

El problema de la insuficiente seguridad de los dispositivos IoT no sólo es propio del mercado de usuarios. Los sistemas IoT industriales también pueden contener vulnerabilidades triviales, y las configuraciones recomendadas por el proveedor pueden ser inseguras.

Un error de configuración habitual en los dispositivos industriales son las contraseñas predeterminadas. Así, por ejemplo, en la documentación proporcionada por el fabricante de convertidores de medios para conectar equipos de ascensores a sistemas de monitorización en salas de control, se daban recomendaciones muy poco seguras para la conexión y la configuración. Además, nuestros investigadores han descubierto vulnerabilidades en los dispositivos, cuya explotación es accesible incluso a atacantes no muy expertos y les permite tomar el control total del convertidor. Más adelante, se eliminaron de las recomendaciones los ajustes inseguros. Sin embargo, el proveedor del dispositivo, que en un principio mostró rapidez para solucionar los problemas de seguridad, fue desentendiéndose de sus responsabilidades, y muchas de las vulnerabilidades que descubrimos siguen sin parchear, más de un año después de que se las informáramos al proveedor.

Por los ejemplos anteriores, puede parecer que consideramos que todos los dispositivos IoT son inseguros y que sus fabricantes no tienen una cultura de diseño seguro. Sin embargo, este no es el caso. Por ejemplo, la empresa Bosch recibió nuestro certificado de madurez en seguridad para una cámara de video inteligente para plantas industriales. Nos encantaría que el mayor número posible de proveedores de dispositivos IoT, incluidos los dedicados a sistemas IoT industriales, también hicieran de la ciberseguridad de sus productos una prioridad.

Conclusión

Los dispositivos IoT están en la mira de los delincuentes por varias razones: pueden utilizarse para ataques DDoS, redirigir el tráfico o espiar a sus propietarios mediante las cámaras de video integradas. Los sistemas de almacenamiento NAS también puede ser blanco del ransomware, mientras que los routers son atractivos para los atacantes que quieren llegar a los dispositivos que tienen conectados, por ejemplo, dispositivos móviles en una red Wi-Fi pública o dispositivos en la red local de una víctima.

Los ciberdelincuentes no dejan de atacar los dispositivos IoT y de ofrecer en la Darknet servicios relacionados con dichos ataques. Aun así, la mayoría de los dispositivos conectados, incluidos los de entornos industriales, siguen siendo presa fácil porque utilizan contraseñas predeterminadas para establecer conexión y tienen algunas vulnerabilidades que no reciben parches del fabricante. Los vendedores de dispositivos IoT, tanto domésticos como industriales, deben tomar muy en serio la seguridad de sus productos e implantar mecanismos de defensa contra los ciberataques en la fase de diseño. En particular, le recomendamos que abandone la práctica de utilizar contraseñas predeterminadas y genere contraseñas únicas para cada uno de sus dispositivos. También debe consultar periódicamente los parches para las vulnerabilidades descubiertas.

Panorama de las amenazas para dispositivos IoT en 2023

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada