Descubren una variante del gusano RapperBot, que infecta dispositivos IoT para lanzar ataques DDoS
Investigadores han descubierto una variante de Rapperbot, un gusano basdo en la ‘botnet’ Mirai que infecta dispositivos IoT para lanzar ataques de denegación de servicio (DDoS) mediante una fuerza bruta ‘inteligente’.
Un gusano informático es un tipo de ‘malware’ engañoso diseñado para propagarse a través de varios dispositivos y permanecer activo en todos ellos y propagar ataques DDoS, de modo que sobrecargan sus objetivos con tráfico de internet no deseado para que el normal no llegue al destino previsto.
La primera vez que se dio con Rapperbot fue en junio de 2022, cuando tenía como objetivo el protocolo Secure Shell (SSH), un sistema seguro de transferencia de archivos mediante encriptación. Al contrario que esta, la neuva varuante se enfoca exclusivamente a Telnet, un protocolo de red para acceder y controlar en remoto otra máquina.
Un grupo de expertos de Kaspersky ha determinado, además, que este gusano, absado en la ‘botnet’ Mirai, busca infectar dispositivos IoT con la diferencia de que lo hace empleando “una fuerza bruta inteligente”, según ha explicado en una nota de prensa.
En primer lugar, RapperBot comprueba el ‘prompt’ y, en función de este, elige las credenciales adecuadas, acelerando el ataque, puesto que no se ve en la necesidad de revisar grandes listados de credenciales.
Otra nueva familia de ‘software’ malicioso descubierta por la compañía de ciberseguridad tiene como fuente unicial el ‘malware’ de código abierto CUEMiner, descubierto por primera vez en Github en 2021.
La última iteración de este gusano fue interceptada en octubre de 2022 e integra un minero propio llamado Watcher que monitoriza los sistemas y dispositivos de la víctima, mientras que esta utiliza programas pesados, como videojuegos.
Para propagar CUEMiner, los ciberdelincuentes empleanj dos métodos. Por un lado, difundirlo a través de un troyando crackeado que se descarga a través de Bittorrent. por otro, a través de redes basadas en OneDrive.
Finalmente, los expertos ahcen mención a Rhadamanthys, un ladrón de información que utiliza Google Advertising para propagar ‘malware’ y que, al igual que CUEMiner, utilizan imágenes para esconderse y tienen códigos de tipo ‘shell’ similares para activarse.
Desde la compañía de ciberseguridad advierten que es recomendable no exponer servicios de escritorio remoto (como RDP) en redes públcias si no es estrictamente necesario, utilizando en todo caso contraseñas fuertes en estos servicios.
Asimismo, se deben instalar parches para las soluciones comerciales VPN y es importante realizar copias de seguridad regularmente, así como tener un acceso rápido a estas en caso de emergencia, entre otras recomendaciones.
Fuente: europapress.es