Nuevo malware hace que los dispositivos del Internet de las cosas se conviertan en inútiles ladrillos

BrickerBot, un malware descubierto por las trampas online de la compañía de seguridad informática Radware, tiene como blanco los dispositivos del Internet de las cosas que funcionan bajo el sistema operativo Linux con el paquete BusyBox. Los primeros ataques, según los investigadores, comenzaron el 20 de marzo.

Se sabe que existen dos versiones del malware (Brickerbot.1 y Brickerbot.2), que infectan la memoria operativa de los dispositivos y afectan el rendimiento del kernel del sistema.

Al principio del ataque, ambas versiones funcionan de la misma manera: tratan de lanzar un ataque de fuerza bruta contra los puertos Telnet abiertos y al igual que Mirai, Hajime y otros muchos tipos de malware para el Internet de las cosas, Brickerbot utiliza una lista de credenciales predeterminadas. Si tiene éxito, Brickerbot ejecuta una serie de comandos de Linux, después de lo cual las diferentes versiones del malware funcionan de manera diferente, ejecutan diferentes comandos, pero que en última instancia tienen el mismo propósito.

Brickerbot escribe bits aleatorios en la memoria del dispositivo, lo que hace que la memoria flash se convierta en inútil. A continuación, se desactivan las etiquetas de tiempo del protocolo TCP, es decir, cuando se guarda la conexión a Internet, esta deja de funcionar. A continuación, el malware establece 1 como el índice máximo de subproceso del kernel, lo que detiene todas las operaciones que se realizan en el kernel.

Una vez que el malware reinicia el dispositivo del Internet de las cosas, éste deja de funcionar y se vuelve completamente inútil, literalmente unos minutos después de la infección. Estos ataques se denominan PDoS (Permanent Denial of Service), denegación permanente del servicio. Los datos telemétricos de las trampas de Radware mostraron que en cuatro días se registraron 1895 ataques PDoS.

Cada variante de Brickerbot utiliza su propia infraestructura para propagarse: BrickerBot.1 se distribuye a través de las direcciones IP de los dispositivos de red Ubiquiti que se ejecutan en una versión obsoleta del servidor Dropbear SSH. BrickerBot.2 es una versión más avanzada de Brickerbot que puede ejecutar muchos más comandos. Debido a que las direcciones IP involucradas en el ataque están ocultas en la red Tor, es casi imposible rastrear el origen del ataque. Hasta ahora, sin embargo, los ataques lanzados con una versión más potente son mucho menos frecuentes.

Según los investigadores, Brickerbot es una nueva palabra en el campo del malware para dispositivos del Internet de las cosas. Por lo general, el malware para el Internet de las cosas se utiliza para crear redes de bots de grandes dimensiones, que a su vez se utilizan para lanzar ataques DDoS como el que afectó a una serie de operadores y proveedores en todo el mundo. Pero la naturaleza destructiva de Brickerbot es algo inusual: No está claro qué beneficios les puede traer esta funcionalidad a los ciberdelincuentes: los dispositivos que atacan quedan inservibles.

Este puede ser el trabajo de un hacktivista, que desea llamar la atención sobre el bajo nivel de protección de muchos dispositivos del Internet de las cosas. Sin embargo, el trabajo de este “luchador contra la injusticia” perjudica a los dispositivos, aunque también la historia ha registrado casos completamente opuestos. Por ejemplo, en octubre de 2015, los investigadores reportaron un caso de hacktivismo con resultados opuestos: el malware para el Internet de las cosas Linux.Wifatch buscaba routers sin protección y corregía sus errores de configuración. Más adelante el código de este “malware” se publicó en GibHub.

La motivación de los creadores de Brickerbot es confusa, y sus acciones son peligrosas: como señalan algunos expertos, dejar de esta manera fuera de servicio una cámara de vigilancia en el edificio de una embajada puede considerarse de iure un acto de agresión.

Los especialistas exhortan a los creadores de Brickerbot a que canalicen sus energías en actividades positivas, enfatizando que el mensaje fue escuchado y entendido. Los representantes de Radware están dispuestos a trabajar con los hackers desconocidos para mejorar la seguridad de los dispositivos del Internet de las cosas.

Fuentes: Threatpost