Hace solo unos días, Geektimes
publicó información sobre el gusano Reaper y la botnet del mismo nombre. Hasta cierto punto, Reaper es el
sucesor de Mirai , el gusano que golpeó a muchas decenas de miles de dispositivos IoT el año pasado. Luego, con la ayuda de estos dispositivos, combinados en un solo sistema, se realizaron ataques poderosos contra proveedores de servicios de alojamiento, organizaciones bancarias e incluso servidores privados.
Bien puede ser que Reaper sea más peligroso que Mirai, aunque los expertos aún discuten sobre esto. Ahora se sabe más sobre el alcance y las capacidades de la nueva botnet que antes gracias a las actividades de varias organizaciones que trabajan en el campo de la seguridad de la información. Los especialistas de estas compañías estudian cuidadosamente las capacidades del gusano y la botnet, y publican regularmente los datos recibidos en la red.
Algunos datos obtenidos durante el estudio de la botnet sugieren que Reaper fue creado por aficionados que no esperaban que su creación afectara a tantos dispositivos en todo el mundo. Al decir "aficionados", no queremos decir en absoluto que los creadores del sistema sean nuevos en el campo del desarrollo de software. Pero este equipo (¿o una persona?) Claramente no tiene mucha experiencia en el desarrollo de software malicioso y la creación de botnets. Por ejemplo, este gusano no protege los dispositivos ya infectados de otro malware. Esto es bastante inusual para el software de formación de botnets. Al mismo tiempo, Reaper puede buscar dispositivos Mirai infectados y también infectarlos (esto es casi lo mismo que Mirai hizo con su propio predecesor, Qbot).
Escala del desastre
Ahora lo más importante es el tamaño de la botnet. Los especialistas de Check Point, que fueron los primeros en notar Reapth,
creen que el malware ha infectado cientos de miles de dispositivos en todo el mundo (es posible que estemos hablando de un millón de dispositivos IoT). Esto pone inmediatamente a esta botnet a la vanguardia: si la evaluación es realmente correcta, entonces Reaper no tiene igual.
Check Point ha detectado unos 30 mil dispositivos infectados. Según los representantes de esta empresa, las "víctimas" de IoT detectadas son solo una fracción del número total de sistemas afectados por el gusano. Los representantes de la compañía afirman que si se extrapola, entonces es muy posible hablar de un millón de "zombis IoT" o incluso más de ellos. No había tal cantidad de dispositivos infectados integrados en un solo conjunto.
Es cierto, hay otras opiniones. Son expresados por representantes de otras compañías, argumentando que la cantidad de dispositivos infectados no puede llegar a 1 millón, cuestionando las palabras Check Point. En general, la botnet todavía no se comprende bien, por lo que realmente hay margen de error.
La compañía china de ciberseguridad Netlab 360, que también informó sobre Reaper,
afirma que en este momento la cantidad de dispositivos infectados es de decenas de miles, pero no cientos, y especialmente no un millón. En su último informe, la compañía anunció 28,000 bots infectados. Representantes de Arbor Networks están de acuerdo con sus colegas chinos. Sin embargo, la mayoría de los expertos en ciberseguridad están de acuerdo en que el gusano Reaper es extremadamente peligroso y puede infectar una gran cantidad de dispositivos en poco tiempo.
Tiempo de ataque: desconocido
El malware actúa de la misma manera que sus predecesores: escanea los dispositivos conectados a la red IoT e identifica aquellos que son vulnerables. Hay muchos de ellos, porque los fabricantes, desafortunadamente, no se esfuerzan por solucionar rápidamente los problemas de seguridad de red de sus dispositivos. Al mismo tiempo, Reaper no es muy rápido. Tal vez porque el componente atacante del malware no tiene la capacidad de atacar rápidamente a sus víctimas. O tal vez porque los creadores de la botnet específicamente lo hicieron menos agresivo para que sea más difícil para la seguridad cibernética detectarlo.
Lo más interesante es que, a diferencia de muchos otros programas maliciosos que forman botnets, Reaper "muere" cuando se reinicia el dispositivo. Es decir, el número real de dispositivos infectados cambia constantemente. Algunos dispositivos IoT se reinician con bastante frecuencia, por lo tanto, la "volatilidad" de la botnet es muy grande.
Según Radware, todos los días el gusano Reaper infecta de 200 a 500 dispositivos diferentes. Se necesita un gusano de media hora a una hora y media para infectar un dispositivo. La misma compañía el año pasado observó la proliferación de Mirai. Golpeó un dispositivo en solo dos minutos. Los expertos en seguridad de redes dicen que, a juzgar por la cantidad de vulnerabilidades de los sistemas IoT utilizados por el gusano, solo unos 350 mil dispositivos en todo el mundo están disponibles para la infección. Esto es solo una suposición que contrasta con las calificaciones de otras compañías, pero merece el derecho a la vida.
¿Por qué es todo esto?
Otro punto es que las intenciones de los creadores de Reaper no están claras. Lo principal para recordar es que hasta ahora no ha habido intentos de llevar a cabo un ataque DDoS. Se desconoce por qué se creó esta botnet.
Además, los servidores de control de botnet usan nombres estáticos y direcciones IP. Y esto facilita la tarea de bloquear dichos servidores. Otras botnets son mucho más peligrosas a este respecto. Por ejemplo, Hajime es
mucho más difícil de golpear o desarmar . Utiliza varias direcciones de BitTorrent al mismo tiempo para cambiar el hash o "huella digital", lo que sucede literalmente todos los días.
No hace mucho tiempo, se crearon gusanos que "parasitan" en dispositivos ya infectados. Algunos de estos gusanos atacan al "inquilino" del sistema y lo eliminan. ¿Cómo funciona el sistema? No está claro hasta el final. Sin embargo, quedó claro que si la botnet formada se forma, será mucho más fácil tratar con ella que con otros sistemas de software de este tipo.
Quién sabe, tal vez todos estos aparentes "errores" son solo el deseo de los creadores del malware para hacer que su creación sea menos peligrosa a los ojos de los expertos que sus predecesores. En un día, todo puede cambiar: los creadores de la botnet darán un comando y luego veremos la transformación de este sistema en algo mucho más peligroso de lo que es ahora.
Como se informó anteriormente, existe la posibilidad de que Reaper no se haya creado para ataques DDoS. Podría ser diseñado para otras necesidades. Hay muchas oportunidades, desde la minería de criptomonedas (aunque no se puede extraer mucho en los sistemas IoT) hasta la creación de un tipo diferente de red informática distribuida. La minería de Bitcoin era, por ejemplo, una opción del
troyano ELF Linux / Mirai con un bloque de criptomonedas agregado. La cantidad de monedas que un dispositivo IoT puede extraer es ridícula, estamos hablando de la millonésima parte de una unidad de criptomonedas. Pero si millones de dispositivos se combinan en una botnet, entonces funcionará un poco.
Por cierto, anteriormente se dijo que la red de bots escanea la red en busca de dispositivos que estén sujetos a las siguientes vulnerabilidades:
Después de la actualización de Reaper, la décima vulnerabilidad a la que se ven afectados los dispositivos D-Link DIR-645 se agregó a esta lista. Además, el malware pronto puede agregar un exploit para la
vulnerabilidad CVE-2017-8225 . Esta vulnerabilidad afecta a más de cien mil dispositivos IoT, la mayoría de ellos cámaras con el módulo de software WIFICAM.
Los representantes de la compañía F5 creen que si los desarrolladores de botnets agregan algunas vulnerabilidades más, entonces el malware puede infectar no decenas de miles, sino millones de dispositivos, más de 3.5 millones. La ventaja de la nueva botnet es que tiene
un mecanismo de actualización , a diferencia de Mirai. Es decir, los desarrolladores pueden agregar casi cualquier función a su discreción, en cualquier momento.
La peor parte es que los desarrolladores usan el
lenguaje de programación
Lua , que le permite usar Reaper no solo para DDoS, sino para una gama mucho más amplia de tareas.
También existe la posibilidad de que no Reaper comience a infectar millones de dispositivos, sino alguna otra botnet, cuyos creadores tomarán como base las vulnerabilidades que son la base de Reaper. Sea como fuere, la amenaza de activación de botnet ahora es muy alta, y nadie puede predecir qué hará Reaper después de "despertarse".