{"id":9115,"date":"2023-02-04T13:22:00","date_gmt":"2023-02-04T13:22:00","guid":{"rendered":"https:\/\/network-king.net\/la-actualizacion-del-malware-zerobot-ataca-a-los-dispositivos-iot\/"},"modified":"2023-02-09T13:23:41","modified_gmt":"2023-02-09T13:23:41","slug":"la-actualizacion-del-malware-zerobot-ataca-a-los-dispositivos-iot","status":"publish","type":"articles","link":"https:\/\/network-king.net\/es\/la-actualizacion-del-malware-zerobot-ataca-a-los-dispositivos-iot\/","title":{"rendered":"La actualizaci\u00f3n del malware Zerobot ataca a los dispositivos IoT"},"content":{"rendered":"\n

Est\u00e1 activa la actualizaci\u00f3n de una red de bots descubierta a finales del a\u00f1o pasado, que aprovecha las vulnerabilidades de los dispositivos de Internet de las Cosas (IoT) para hacerse con el control de los sistemas atacados. Revelado inicialmente por FortiGuard Labs<\/a>,, el malware Zerobot se ha actualizado varias veces desde que el equipo de investigaci\u00f3n de Microsoft Defender comenz\u00f3 a vigilarlo. La versi\u00f3n Zerobot 1.1 incluye funciones para explotar vulnerabilidades en m\u00e1s sistemas y nuevas herramientas de ataque DDoS.<\/p>\n\n\n\n

Escrito en lenguaje Go, Zerobot contiene varios m\u00f3dulos, como los de autorreplicaci\u00f3n, autopropagaci\u00f3n y uno dirigido a ataques que utilizan distintos protocolos, y se ofrece como parte de un esquema de malware como servicio. Seg\u00fan Microsoft<\/a>, se identific\u00f3 un dominio con v\u00ednculos a Zerobot entre varios otros asociados a servicios DDoS de alquiler<\/a> incautados por el FBI en diciembre de 2022. Microsoft rastre\u00f3 incluso anuncios de la red de bots Zerobot en redes sociales y anuncios relacionados con la venta y el mantenimiento del malware, y tambi\u00e9n identific\u00f3 nuevas funciones en desarrollo. La empresa registra estas actividades como DEV-1061.<\/p>\n\n\n\n

La distribuci\u00f3n Zerobot 1.1 ahora puede explotar vulnerabilidades en Apache y Apache Spark, as\u00ed como en los sistemas MiniDVBLinux DVR, Grandstream y Roxy-WI GUI. Adem\u00e1s, aporta herramientas para realizar ataques DDoS. Las nuevas funciones permiten seleccionar determinados recursos y hacerlos inaccesibles. Los ataques DDoS exitosos pueden utilizarse para exigir el pago de rescates, desviar la atenci\u00f3n de otras actividades maliciosas o interrumpir las operaciones. A continuaci\u00f3n se enumeran los distintos m\u00e9todos usados por Zerobot para lanzar ataques DDoS, como el env\u00edo de paquetes UDP y TCP con cargas \u00fatiles personalizables.<\/p>\n\n\n

\n
\"Diferentes
Fuente: Microsoft<\/figcaption><\/figure>\n<\/div>\n\n\n

La red de bots Zerobot afecta a varios dispositivos, como cortafuegos, routers y c\u00e1maras, y los agrupa en una red de bots de denegaci\u00f3n de servicio distribuida (DDoS). Puede infectar a v\u00edctimas vulnerables en diversas arquitecturas, sistemas operativos y protocolos.<\/p>\n\n\n\n

Al estar m\u00e1s expuestos a Internet y contar con sistemas sin parches y mal protegidos, los dispositivos IoT son objetivos frecuentes del malware Zerobot, que se propaga por las rutas IoT aplicando ataques de fuerza bruta a dispositivos con configuraciones inseguras utilizando credenciales por defecto o d\u00e9biles. El malware intenta acceder a los dispositivos a trav\u00e9s de una combinaci\u00f3n de ocho nombres de usuario y 130 contrase\u00f1as comunes para dispositivos IoT.\r\n<\/p>\n\n\n\n

Los investigadores de Microsoft identificaron varios intentos de conexiones SSH y telnet en los puertos est\u00e1ndar 22 y 23, as\u00ed como intentos de abrir los puertos 80, 8080, 8888 y 2323.<\/p>\n\n\n\n

Para obtener acceso a los dispositivos, el malware Zerobot inyecta un script llamado zero.sh que descarga e intenta ejecutar c\u00f3digo malicioso para una arquitectura espec\u00edfica. Tambi\u00e9n puede intentar descargar diferentes binarios e intenta identificar por fuerza bruta la arquitectura, ya que los dispositivos IoT suelen utilizar unidades de procesamiento de diferentes plataformas. Microsoft ha observado scripts para arquitecturas como ARM64, MIPS y x86_64. Dependiendo del sistema operativo de los dispositivos, el malware emplea diferentes mecanismos de persistencia, t\u00e1cticas utilizadas para obtener y mantener el control de acceso.<\/p>\n\n\n\n

\u00bfQu\u00e9 es una red de bots IoT?<\/h2>\n\n\n\n

IoT botnet es una red de dispositivos conectados al Internet de las Cosas (IoT) que han sido infectados por malware (espec\u00edficamente IoT botnet malware) y han ca\u00eddo en manos de actores maliciosos. En general, las botnets se utilizan para lanzar ataques distribuidos de denegaci\u00f3n de servicio (DDoS) y se anuncian en foros clandestinos, lo que las hace f\u00e1cilmente accesibles a los ciberdelincuentes.<\/p>\n\n\n\n

Suelen controlarse desde un \u00fanico servidor de Mando y Control (C&C) conectado a dispositivos infectados, denominados \u00abbots\u00bb. Sin embargo, algunas redes de bots prescinden del servidor de C&C y adoptan redes P2P (peer-to-peer), lo que las hace m\u00e1s dif\u00edciles de desmantelar. Esta amenaza ya es una realidad, y se han identificado cinco familias de botnets IoT P2P: Wifatch, Hajime, Hide ‘n’ Seek (HNS), Mozi y HEH.<\/p>\n\n\n\n

Trend Micro<\/a> enumera tres c\u00f3digos principales de malware utilizados en botnets IoT, cuyas caracter\u00edsticas muestran su naturaleza y c\u00f3mo suelen operar. Suelen ser de c\u00f3digo abierto para facilitar la generaci\u00f3n de variantes. Estas tres clases de malware son:<\/p>\n\n\n\n