Cada vez están más cerca los investigadores de Kaspersky Lab de encontrar el propagador para malware basado en Windows de la botnet Mirai. La botnet Mirai busca atacar dispositivos IoT conectados a Internet y tal parece que la ha creado un desarrollador de habla china con habilidades más avanzadas que los ciberatacantes que desencadenaron los enormes ataques DDoS de Mirai a finales de 2016.
Los datos de Kaspersky Lab muestran ataques en cerca de 500 sistemas únicos en 2017 con la botnet Mirai y los mercados emergentes que han invertido mucho en tecnologías conectadas podrían estar particularmente en riesgo.
El propagador basado en Windows de botnet Mirai es más rico y más robusto que el basado en código original, pero la mayoría de los componentes, técnicas y funcionalidades de esta nueva distribución tienen varios años.
El propagador en Windows de la botnet Mirai funciona así
La capacidad de propagación de la botnet Mirai es limitada: sólo se puede entregar a los bots desde un host de Windows infectado hacia un dispositivo IoT Linux vulnerable, siempre y cuando sea capaz de forzar con éxito una conexión remota telnet.
A pesar de esta limitación, el código de esta botnet Mirai y su propagador para Windows, es el resultado del trabajo de un desarrollador más experimentado que a todas luces es nuevo en Mirai.
Se han podido capturar pruebas como pistas de lenguaje en el software, el hecho de que el código se compiló en un sistema chino, con servidores host en Taiwán y el abuso de certificados de código robados de empresas chinas, sugieren que el desarrollador de este propagador de la botnet Mirai probablemente sea chino.
Kurt Baumgartner, analista principal de la seguridad de Kaspersky Lab señaló «La aparición de un cruce de Mirai entre la plataforma Linux y la plataforma Windows es una preocupación real. La liberación del código fuente para el troyano de banca Zeus en 2011 ha traído problemas para la comunidad online durante años y el lanzamiento del código fuente de la bot Mirai IoT en 2016 ha hecho lo mismo”.
De esta manera sabrás si tu equipo se ha sumado a una red botnet
Los países más vulnerables a este nuevo propagador de Windows para la botnet Mirai son los mercados emergentes que han invertido fuertemente en tecnología conectada, como India, Vietnam, Arabia Saudita, China, Irán, Brasil, Marruecos, Turquía, Malawi , Emiratos Árabes Unidos, Pakistán, Túnez, Rusia, Moldavia, Venezuela, Filipinas, Colombia, Rumania, Perú, Egipto y Bangladesh.
Esta es la lista de los nombres de las distintas distribuciones de la botnet Mirai que pueden afectar tus equipos:
- Trojan.Win32.SelfDel.ehlq
- Trojan.Win32.Agentb.btlt
- Trojan.Win32.Agentb.budb
- Trojan.Win32.Zapchast.ajbs
- Trojan.BAT.Starter.hj
- Trojan-PSW.Win32.Agent.lsmj
- Trojan-Downloader.Win32.Agent.hesn
- Trojan-Downloader.Win32.Agent.silgjn
- Backdoor.Win32.Agent.dpeu
- HEUR: Trojan-Downloader.Linux.Gafgyt.b
- DangerousPattern.Multi.Generic (UDS)
Periodista, amante de las redes sociales y de la tecnología, dad´s since 2015.