Kaiji Malware Brute fuerza combinaciones de nombre de usuario y contraseña fáciles de adivinar para ataques exitosos

Kaiji IoT Malware

La llamada revolución de Internet de las cosas (IoT) cambió el ecosistema en línea en muchos aspectos diferentes, y la ciberseguridad no es una excepción. Los hackers sabían que los dispositivos inteligentes y otros dispositivos de IoT son poco más que pequeñas computadoras con sistemas operativos reducidos (en su mayoría basados en Linux), y estaban decididos a explotar este hecho.

Algunas amenazas de IoT menos exitosas aparecieron antes de que Mirai llegara a la escena y reescribiera por completo el libro de registro cuando se trata de ataques de denegación de servicio distribuido (DDoS). Los colosales ataques de la botnet fueron lo suficientemente potentes como para derribar grandes porciones de Internet en regiones enteras del mundo, y mostraron cuán peligrosos podrían ser los dispositivos de IoT armados. También mostraron a todos lo pobre que es el estado de la seguridad de IoT. Uno pensaría que ya habríamos aprendido nuestras lecciones. Se podría pensar que habríamos hecho que nuestros dispositivos inteligentes sean más difíciles de hackear. Bueno, te equivocarías.

Kaiji: una nueva familia de malware de IoT

Un grupo de investigadores independientes con el nombre de MalwareMustDie recientemente se topó con Kaiji, una cepa de malware de IoT que no se había informado anteriormente. Aunque no habían oído hablar de él antes, los expertos probablemente pensaron al principio que lo único nuevo sobre el malware sería el nombre.

Después de los históricos ataques DDoS de Mirai, la comunidad de seguridad y las agencias policiales comenzaron a buscar a los autores del malware. Finalmente, se identificaron los creadores de la botnet DDoS más poderosa del mundo, pero antes de eso, el código fuente de Mirai se filtró. Desde entonces, prácticamente todas las familias de malware de IoT que se han propuesto lanzar ataques DDoS se han basado en Mirai. Hay nuevos nombres y nuevos componentes, pero el núcleo siempre es prácticamente idéntico, y proviene del infame Mirai.

Kaiji, sin embargo, fue escrito desde cero en Go Lang. No se ha copiado una sola línea de código de ningún otro lugar, lo que significa que, por primera vez en mucho tiempo, tenemos una familia de malware IoT que podemos comparar con Mirai. Entonces, ¿cómo se acumula?

¿Es Kaiji el nuevo Mirai?

El hecho es que no sabemos mucho sobre Kaiji en este momento. Los investigadores de Intezer escribieron un informe técnico sobre el nuevo malware, que respalda la sospecha de MalwareMustDie de que Kaiji fue escrito por piratas informáticos chinos. Aparentemente, el malware está preparado para lanzar varios tipos diferentes de ataques DDoS, pero parece que todavía está en desarrollo. En un momento durante el análisis, los investigadores de Intezer notaron que Kaiji estaba consumiendo demasiada RAM, y luego vieron que partes de la infraestructura de Comando y Control no estaban operativas, una clara indicación de que los autores de malware todavía tienen mucho trabajo por hacer.

Sin embargo, han elegido su vector de infección inicial, y su decisión puede decirnos mucho no solo sobre Kaiji sino sobre todo el panorama de IoT.

Nuevo malware, viejos trucos

Kaiji infecta nuevos dispositivos al forzar de forma bruta sus credenciales de inicio de sesión SSH. SSH es un protocolo de red que le permite controlar de forma remota otros dispositivos, y en muchos lugares, lo verá descrito como mucho más seguro que Telnet, el protocolo de comunicación que Mirai usa para reclutar dispositivos inteligentes. De hecho, una de las principales diferencias es que las conexiones SSH están encriptadas, pero en este caso particular, esto no importa.

Tanto Mirai como Kaiji imponen su fuerza bruta, lo que significa que los ataques están dirigidos no a los protocolos, sino a las credenciales de inicio de sesión. El mero hecho de que estas credenciales de inicio de sesión todavía presenten un vector de infección válido dice mucho sobre el estado de la seguridad de IoT. Kaiji y Mirai ni siquiera explotan las malas decisiones de gestión de contraseñas de las personas. En cambio, aprovechan el hecho de que demasiados dispositivos todavía usan credenciales predeterminadas.

Los fabricantes de dispositivos IoT lanzan los dispositivos en el mercado con credenciales de inicio de sesión fáciles de adivinar que podrían permitir que cualquiera los controle. Con la esperanza de que a nadie le interese piratear estos dispositivos en particular, los proveedores a menudo no implementan una forma de actualizar las contraseñas débiles, lo que hace que un ataque sea aún más probable que tenga éxito. Incluso si hay un mecanismo de restablecimiento de contraseña, los usuarios a menudo no pueden molestarse en usarlo.

Este fue el caso en 2016 cuando Mirai hizo sus primeras marcas, y claramente es el caso ahora, lo que demuestra que no hemos aprendido nada en los últimos cuatro años.

May 8, 2020
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.