Malware Silex bloquea miles de dispositivos

malware

Los expertos en seguridad advierten sobre una nueva pieza del malware Silex que está invadiendo miles de dispositivos IoT, y la situación podría empeorar rápidamente

El investigador de Akamai, Larry Cashdollar, descubrió una nueva pieza del malware Silex que está atacando a miles de personas. IOT En más de 2.000 dispositivos se han bloqueado en unas pocas horas y el experto continúa viendo nuevas infecciones.

Cashdollar explicó que el malware Silex destruye el almacenamiento de los dispositivos infectados, elimina las reglas del firewall y borra las configuraciones de red antes de detener el sistema.

La única forma de recuperar dispositivos infectados es reinstalar manualmente el firmware del dispositivo.

Silex no es el primer malware IoT con este comportamiento, en 2017 BrickerBot bloqueó millones de dispositivos en todo el mundo.

Según ZDnet, que entrevistó al creador del malware, los ataques están a punto de intensificarse en los próximos días.

"El malware había bloqueado alrededor de 350 dispositivos cuando este reportero comenzó a investigar sus operaciones, y el número aumentó rápidamente a 2,000 dispositivos borrados en el momento en que publicamos, una hora más tarde". informó ZDnet .

"Los ataques continúan, y según una entrevista con el creador del malware, están a punto de intensificarse en los próximos días".

El investigador Ankit Anubhav también pudo rastrear al atacante y confirmó que el bot fue desarrollado para bloquear los dispositivos IoT infectados.

Anubhav cree que el malware Silex fue desarrollado por un adolescente que usa el apodo en línea de Light Leafon. El mismo chico también ha creado la botnet ITO IoT,

Según Cashdollar, el malware Silex utiliza una lista de credenciales predeterminadas conocidas para IOTdispositivos en el intento de iniciar sesión y realizar acciones maliciosas. El malware escribe datos aleatorios desde / dev / random a cualquier almacenamiento montado que encuentre.

"Veo en el binario que está llamando a fdisk -l que mostrará una lista de todas las particiones de disco", dijo Cashdollar a ZDNet. "Luego escribe datos aleatorios de / dev / random a cualquier partición que descubra".

El malware también elimina la configuración de red y cualquier otro dato en el dispositivo, luego borra todas las entradas de iptables antes de detener o reiniciar el dispositivo.

El malware IoT está dirigido a cualquier sistema similar a Unix con credenciales de inicio de sesión predeterminadas, de acuerdo con Cashdollar aprovecha una versión de shell Bash para apuntar a cualquier arquitectura que ejecute un sistema operativo tipo Unix.

El malware podría bloquear los servidores Linux que tienen puertos Telnet abiertos que usan credenciales conocidas.

La dirección IP ( 185 [.] 162 [.] 235 [.] 5 6 ) detrás de los ataques observados por los expertos se encuentra en un servidor de VPS propiedad de novinvps.com, que se opera desde Irán.

Según Ankit Anubha, quien habló con el autor del malware, el desarrollador ha abandonado definitivamente la botnet HITO para Silex y planea implementar otras características destructivas (capacidad de secuestro de SSH, agregar exploits en Silex).

Fecha actualización el 2021-06-26. Fecha publicación el 2019-06-26. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: securityaffairs Version movil