UN MILLÓN DE DISPOSITIVOS INFECTADOS POR EL BOTNET BASHLITE

Una investigación llevada a cabo por Level 3 Communications y Flashpoint permitió la identificación de un millón de dispositivos infectados por el malware BASHLITE

El Bashlite es una cepa de malware (también conocido como Lizkebab, Torlus y Gafgyt) detectada por los expertos de Trend Micro poco después de la divulgación pública de la ShellShock error.

El Bashlite malicioso incluye el código de ShellShock que había sido utilizado para la distribuidos de denegación de servicio DDoS.

Se podría infectar múltiples arquitecturas de Linux, por esta razón, los ladrones utilizaban para enviar a Internet los objetos.

En junio, los expertos de la empresa de seguridad Sucuri detectaron una red de bots compuesto por decenas de miles de dispositivos de circuito cerrado de televisión que habían sido utilizados por los delincuentes para lanzar ataques DDoS contra sitios web.

El código fuente de Bashlite se filtró en Internet a principios de 2015, los desarrolladores de malware usaron para crear su propia variante.

Ahora los expertos de Level 3 confirmarón el número total de dispositivos infectados por el malware Bashlite es más de 1 millón.

El número incluye dispositivos comprometidos pertenecientes a varias redes de bots, según los expertos, casi todos los dispositivos infectados son grabadoras de video digital (DVR) o cámaras (95%), el resto se compone de routers (4%), y los servidores Linux (1% ).

Segun Level 3: "De los dispositivos identificables que participan en estas redes, casi el 96 por ciento eran dispositivos IO (de los cuales 95 por ciento eran cámaras y DVR), aproximadamente el 4 por ciento eran routers domésticos y menos del 1 por ciento se ve comprometida servidores Linux. Esto representa un cambio drástico en la composición de las redes de bots en comparación con los de casa y en servidor basada en un router DDoS botnets comprometidos que hemos visto en el pasado."

Los investigadores han estado siguiendo más de 200 servidores C & C en todo el mundo utilizan las redes de bots por BASHLITE. Afortunadamente, las direcciones IP de los servidores C & C se encontró codificado en el caso del malware detectado en la fabricación.

Segun Level 3: "De los robots que hemos observado que participan en los ataques, alcanzando un máximo de más de 1 millón de dispositivos, un gran porcentaje se encuentran en Taiwán, Brasil y Colombia. Una gran mayoría de estos robots estaban usando DVR-marca blanca descritas genéricamente como "DVR H.264 DVR" y creados por la empresa Dahua Tecnología. ",

"Nos hemos puesto en contacto Dahua Tecnología para que sean conscientes de este problema. Nuestra investigación muestra más de un millón de estos dos tipos de dispositivos son accesibles en Internet, proporcionando un gran número de robots de potenciales ".

Es bastante fácil para los hackers comprometer los DVR que son afectados por múltiples vulnerabilidades críticas. En muchos casos, el mismo software defectuoso es utilizado por múltiples proveedores para sus dispositivos.

"La mayoría de estos dispositivos funcionan con Linux embebido. Cuando se combina con el ancho de banda necesario para transmitir vídeo, que proporcionan una potente clase de robots de DDoS ".

Según los expertos, los delincuentes detrás de las redes de bots han utilizado algunos de los servidores C & C para poner en marcha más de 100 ataques por día.

"La mayoría de los ataques son de corta duración, con la duración mediana de poco más de 2 minutos, y el 75 por ciento de los ataques más cortos de 5 minutos."


Fecha actualización el 2017-6-18. Fecha publicación el . Categoría: Seguridad. Autor: Mapa del sitio
Level 3