Detectado a través de servidores honeypot mantenidos por la firma de seguridad cibernética Radware los primeros ataques comenzaron el 20 de marzo, los ataques continuan desde entonces apuntando a los dispositivos IO basados en Linux BusyBox
Desde el primer momento, se detectaron dos versiones diferentes de BrickerBot: BrickerBot.1 y BrickerBot.2.
BrickerBot se extiende a los dispositivos con puertos abiertos Telnet
En las primeras etapas de los ataques, ambas cepas funcionan de manera similar, al intentar un ataque de fuerza bruta diccionario en dispositivos con puertos Telnet dejan abiertas en Internet.
Al igual que Mirai, Hajime, LuaBot y otros programas maliciosos IO, BrickerBot utiliza una lista de credenciales predeterminadas conocidos utilizados para varios dispositivos IO.
Si los propietarios de dispositivos no pudieron cambiar sus credenciales predeterminadas, registros BrickerBot y realiza una serie de comandos de Linux.
Aquí es donde se diferencian las dos versiones, como un conjunto de comandos de cada versión es diferente, pero al final, logra el mismo objetivo. Estos comandos son:
- Escritura de bits aleatorios a las unidades de almacenamiento del dispositivo, lo que hace inútil de almacenamiento flash.
- Desactiva marcas de tiempo TCP (conjuntos net.ipv4.tcp_timestamps = 0). Conectividad a Internet se deja intacta, pero obstaculizada.
- Define el número máximo de hilos del núcleo a una (kernel.threads-max = 1). Puesto que este valor es por lo general en el rango de decenas de miles de personas, esto detiene con eficacia todas las operaciones del kernel.
- Reinicia el dispositivo.
El resultado final es un dispositivo IO que dejará de funcionar en cuestión de segundos de ser infectado. Los expertos llaman a estos ataque DOP (Denegación de Servicio Permanente), pero también se les conoce como "phlashing."
De acuerdo con datos de telemetría, sólo uno de los honeypots de Radware ha visto 1.895 DOP intentos en el lapso de cuatro días.
Los expertos de la compañía dicen que las dos variantes BrickerBot se distribuyen a través de dos infraestructuras diferentes. Actualmente, los ataques con BrickerBot.1 están siendo lanzados desde IPs de todo el mundo, que parecen ser asignados a los dispositivos de red Ubiquiti, tales como puntos de acceso y puentes, que todos corren una versión anterior del servidor SSH Dropbear.
Los ataques de BrickerBot.2, la versión más avanzado de la familia de malware BrickerBot y el que ejecuta a más comandos, se esconden detrás de los nodos Tor de salida, y son casi imposibles de rastrear hasta su origen. La buena noticia es que esta versión más avanzada sólo era responsable de 333 DOP ataques, mucho menos que los que tienen BrickerBot.1.
La mayoría de las cepas de malware tratan de acaparar la IO dispositivos en redes de bots masivas que luego son utilizados como sustitutos para retransmitir el tráfico malicioso o para lanzar ataques DDoS. Ambas son empresas lucrativas para cualquier ciber-criminales talento suficiente para secuestrar un gran número de equipos de la IO.
BrickerBot también podría ser el trabajo de un vigilante de Internet que quiere destruir los dispositivos IO inseguros. Un ejemplar de malware similares apareció por primera vez en octubre de 2015.
Llamado Linux.Wifatch, este ejemplar de malware se hizo cargo de la IO routers inseguros y luego ejecuta los comandos que mejoraron la seguridad del dispositivo. Los creadores de este malware de código abierto del código de GitLab, también explica las razones por las que crearon el software malicioso, para empezar, alegando que no tenían malas intenciones.
Lo mismo no puede decirse de autor de BrickerBot, que claramente tiene la intención de limpiar la mayor cantidad de dispositivos IO sin garantía que pueda.
"Wow. Eso es bastante desagradable", dijo el investigador de seguridad Cybereason Amit Serper después de que pita ordenador le mostró alerta de seguridad de Radware. "Son sólo bricking que por el bien de bricking ella. [Son] destruyendo deliberadamente el dispositivo."
"Es alguien que quería que al limpiar el desorden de una manera dura", dijo Victor Gevers , presidente de la GDI.foundation, un experto en seguridad que siguió a los ataques contra servidores de rescate destructivos MongoDB que tuvieron lugar en el inicio del año.
"Muy eficaz y en algún momento muy arriesgado debido a atacar dispositivos sin conocer su deber exacta podría ser peligroso", agregó Gevers. "Imagínese que inhabilita una cámara de seguridad de una embajada. ¿Es eso un acto de agresión hacia un país?"
El enfoque de BrickerBot es definitivamente ilegal y peligroso, como señala Gevers. El investigador también no está de acuerdo con el enfoque de los atacantes.
"Estos ataques son muy fáciles de ejecutar, y creo que esto sólo el principio", el experto dijo que pita ordenador. "No quiero etiquetar este trabajo tan oscuro, pero creo que hay formas menos destructivas para lograr el mismo objetivo."
Fecha actualización el 2017-4-6. Fecha publicación el 2017-4-6. Categoría: Malware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer