La seguridad cibernética se ha convertido en una preocupación primordial. La creciente proliferación de dispositivos IoT (Internet de las cosas) ha proporcionado una superficie de ataque más amplia para los ciberdelincuentes, quienes buscan explotar vulnerabilidades en estos dispositivos para llevar a cabo sus actividades maliciosas. Recientemente, ha surgido una nueva variante de la botnet P2PInfect que se dirige específicamente a dispositivos MIPS, como enrutadores y otros dispositivos IoT basados en esta arquitectura. En este artículo, exploraremos en detalle esta nueva amenaza y cómo los usuarios y las organizaciones pueden protegerse.
La botnet P2PInfect es conocida en el mundo de la ciberseguridad por su capacidad para propagarse de manera autónoma y sin necesidad de un servidor de comando y control centralizado. Utiliza una arquitectura peer-to-peer (P2P) que permite que los dispositivos infectados se comuniquen entre sí y compartan información sobre vulnerabilidades y nuevos objetivos. Esta característica hace que la botnet sea altamente resistente a los intentos de desactivación, ya que no depende de un único punto de falla.
La botnet P2PInfect se ha dirigido principalmente a dispositivos con arquitectura x86 en el pasado, pero recientemente se ha observado una variante que se enfoca en dispositivos MIPS. La arquitectura MIPS es comúnmente utilizada en enrutadores y una variedad de dispositivos IoT, lo que la convierte en un objetivo atractivo para los atacantes.
Te podrá interesar leer: Origen de botnets: Variantes Mirai - HailBot, KiraiBot, CatDDoS
Investigadores de seguridad en ciberseguridad han detectado una nueva variante de una botnet emergente que se ha denominado como P2PInfect. Esta versión actualizada muestra la capacidad de dirigirse hacia enrutadores y dispositivos de IoT.
La última versión de este malware, que ha sido diseñada para funcionar en arquitecturas de microprocesador sin etapas interbloqueadas de canalización (MIPS), ha ampliado sus funciones y su rango de acción. Según un informe compartido por un investigador de seguridad Matt Muir, al enfocarse en los dispositivos MIPS, los desarrolladores de P2PInfect podrían estar buscando infectar enrutadores y dispositivos IoT con malware.
Te podrá interesar leer: Detección de Amenazas en IoT con Wazuh
El malware P2PInfect, desarrollado en Rust, salió a la luz en julio de 2023, inicialmente dirigido a instancias de Redis no parcheadas, aprovechando una vulnerabilidad crítica de escape de la zona de pruebas de Lua (CVE-2022-0543, con una puntuación CVSS de 10.0) para obtener acceso inicial.
En un análisis posterior realizado por una empresa de seguridad en la nube en septiembre, se observó un aumento en la actividad de P2PInfect, coincidiendo con la liberación de variantes iterativas del malware. Estas nuevas variantes no solo intentan llevar a cabo ataques de fuerza bruta SSH en dispositivos integrados con procesadores MIPS de 32 bits, sino que también incorporan técnicas avanzadas de evasión y anti-análisis para eludir la detección.
Los intentos de fuerza bruta contra los servidores SSH identificados durante la fase de escaneo se basan en el uso de pares comunes de nombres de usuario y contraseñas que están presentes dentro del propio binario ELF. Se sospecha que tanto los servidores SSH como Redis sirven como vectores de propagación para esta variante MIPS, ya que es posible ejecutar un servidor Redis en MIPS utilizando un paquete conocido como redis-server en OpenWrt.
Entre las técnicas de evasión notables se incluye una verificación para detectar si el malware está siendo analizado y en caso afirmativo, terminarlo. Además, se intenta deshabilitar los volcados de núcleo de Linux, que son archivos generados automáticamente por el kernel después de un fallo inesperado en un proceso.
La variante MIPS también contiene un módulo DLL de Windows de 64 bits integrado para Redis, lo que permite la ejecución de comandos de shell en un sistema comprometido.
Este desarrollo es significativo no solo porque amplía el alcance de los desarrolladores detrás de P2PInfect, al ser compatible con más arquitecturas de procesador, lo que equivale a más nodos en la propia botnet, sino también porque la muestra MIPS32 presenta algunas técnicas notables de evasión de defensas. Esto, junto con el uso de Rust en el malware (que facilita el desarrollo multiplataforma) y el rápido crecimiento de la botnet en sí, sugiere que esta campaña está siendo orquestada por un actor de amenazas altamente sofisticado.
Te podrá interesar leer: Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad
La amenaza de esta nueva variante de la botnet P2PInfect subraya la importancia de tomar medidas proactivas para proteger los dispositivos MIPS y otros dispositivos IoT. Aquí hay algunas recomendaciones clave:
Actualización Regular de Firmware: Mantener el firmware de los dispositivos actualizado es esencial para parchear posibles vulnerabilidades. Los fabricantes suelen lanzar actualizaciones de seguridad para abordar las amenazas conocidas.
Contraseñas Fuertes: Cambiar las contraseñas predeterminadas de los dispositivos y utilizar contraseñas fuertes y únicas es una medida crucial. Evitar contraseñas comunes y utilizar autenticación de dos factores siempre que sea posible.
Firewalls y Filtrado de Tráfico: Configurar firewalls y filtrado de tráfico en los enrutadores puede ayudar a bloquear tráfico no deseado y proteger los dispositivos de intrusiones.
Monitorización de Tráfico Anómalo: Implementar sistemas de monitorización de tráfico para detectar actividades inusuales o patrones de tráfico sospechosos en la red.
Seguridad de Red: Utilizar soluciones de seguridad de red, como sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS), para detectar y bloquear actividades maliciosas.
Educación y Concienciación del Usuario: Capacitar a los usuarios finales sobre las mejores prácticas de seguridad cibernética y la importancia de mantener sus dispositivos actualizados y seguros.
Seguridad Basada en la Nube: Considerar el uso de soluciones de seguridad basadas en la nube que pueden proporcionar protección adicional contra amenazas cibernéticas.
Te podría interesar leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
La aparición de una nueva variante de la botnet P2PInfect dirigida a dispositivos MIPS es un recordatorio de la constante evolución de las amenazas cibernéticas. La seguridad de dispositivos IoT y enrutadores es esencial en la protección de redes y datos sensibles. Adoptar buenas prácticas de seguridad, mantener el firmware actualizado y estar alerta ante posibles amenazas son pasos fundamentales para mitigar el riesgo de infección y el impacto de estas botnets maliciosas. La colaboración entre fabricantes, proveedores de servicios y usuarios finales es esencial para hacer frente a esta creciente amenaza cibernética y proteger nuestra infraestructura digital.