PumaBot: Nueva Botnet que Fuerza Credenciales SSH para Atacar

Recientemente se descubrió un nuevo malware tipo botnet llamado PumaBot, creado en Go y diseñado para atacar dispositivos IoT con Linux. ¿Cómo lo hace? Básicamente, intenta adivinar contraseñas SSH a la fuerza para poder colarse y meter su software malicioso.

Lo curioso de PumaBot es que no anda escaneando todo internet a lo loco. En lugar de eso, va directo al grano: ataca direcciones IP específicas que saca de una lista enviada por su servidor de control (C2). Es decir, sabe exactamente a quién quiere ir a molestar.

Cámaras de vigilancias en la mira: Así actúa PumaBot

PumaBot es una botnet que ha llamado la atención por su comportamiento dirigido y preciso. En lugar de escanear todo Internet en busca de víctimas al azar, este malware recibe una lista de direcciones IP específicas desde su servidor de comando y control (C2), en este caso, ssh.ddos-cc.org.

A partir de esa lista, intenta entrar por el puerto 22 (el clásico para conexiones SSH) usando ataques de fuerza bruta. Es decir, prueba combinaciones de usuario y contraseña hasta encontrar una que funcione.

Durante este proceso, el malware busca la cadena “Pumatronix”, que apunta a que los blancos principales podrían ser sistemas de cámaras de vigilancia o dispositivos relacionados con el control de tráfico, probablemente de un proveedor en particular.

Cuando encuentra un dispositivo que encaja con lo que busca, PumaBot recibe un lote de credenciales para probar acceso. Si logra entrar, ejecuta el comando uname -a para obtener información sobre el sistema y confirmar que no se trata de una trampa tipo honeypot (una técnica común para cazar malware).

Una vez que se instala, el botnet guarda su archivo principal, llamado “jierui”, en la carpeta /lib/redis y configura un servicio llamado redis.service para que se inicie automáticamente con el sistema. Esto le permite sobrevivir a reinicios y seguir activo en el dispositivo.

Para asegurarse de que no lo echen fácilmente, también inyecta su propia clave SSH en el archivo authorized_keys, lo que le da una puerta trasera permanente incluso si alguien elimina el malware principal. Con el control asegurado, PumaBot puede recibir órdenes para:

1. Robar información

2. Cargar más malware

3. Realizar movimientos laterales a otros dispositivos conectados

Algunas de las cargas maliciosas detectadas incluyen:

1. Scripts de actualización automática que mantienen el malware al día

2. Rootkits PAM que reemplazan el archivo pam_unix.so, clave en la autenticación de usuarios en Linux

3. Demonios o procesos ocultos como un binario llamado “1”

Uno de estos módulos maliciosos del sistema de autenticación (PAM) se encarga de capturar los datos de acceso SSH (tanto de inicios de sesión locales como remotos) y los guarda en un archivo de texto llamado con.txt. Luego, otro componente del malware, conocido como “watcher”, vigila ese archivo constantemente y exfiltra la información hacia el servidor del atacante en cuanto detecta algo nuevo.

Escribir credenciales en un archivo de texto (Fuente: Darktrace)

Después de robar la información, PumaBot borra el archivo de texto donde guardó las credenciales, dejando el sistema limpio y sin rastros obvios de lo que pasó. Así es más difícil para cualquier administrador detectar que hubo una intrusión.

Por ahora, no se sabe con certeza qué tan grande es esta botnet ni cuán efectivas han sido sus campañas. Tampoco hay datos claros sobre cuántas direcciones IP están realmente en su lista de objetivos.

Lo que sí está claro es que PumaBot no se conforma con hacer ruido. En lugar de usar los dispositivos infectados para tareas más básicas como lanzar ataques DDoS o crear redes proxy, parece que apunta a algo más serio: acceder a redes corporativas desde adentro y profundizar el ataque desde ahí.

Podría interesarte leer: ¿Qué es una Botnet?: Red Zombie

¿Cómo proteger tus dispositivos IoT?

Si tienes cámaras, routers, sensores u otros dispositivos conectados a internet, vale la pena tomar precauciones. Aquí van algunos pasos clave para protegerte:

1. Actualiza el firmware a la última versión disponible.

2. Cambia las contraseñas por defecto (¡sí, esa de admin/admin no sirve!).

3. Pon los dispositivos detrás de un firewall, y limita el acceso remoto si no lo necesitas.

4. Aíslalos del resto de tu red, especialmente de equipos más sensibles o con datos importantes.

Al final del día, mantener tus dispositivos seguros es mucho más fácil que lidiar con una intrusión. Mejor prevenir que lamentar, ¿no?

¿Quieres una protección más completa?

Aplicar buenas prácticas como mantener el firmware actualizado, cambiar contraseñas predeterminadas y segmentar redes es un excelente primer paso. Pero frente a amenazas cada vez más sofisticadas como PumaBot, eso muchas veces no es suficiente.

Ahí es donde entra TecnetProtect, una solución diseñada para ir mucho más allá de lo básico. Ofrece protección en tiempo real, detección de intrusiones, monitoreo constante de dispositivos, aislamiento de redes sensibles y automatización de parches de seguridad. Todo pensado para blindar tu infraestructura y evitar que ataques como los de PumaBot se abran paso en tu red.

Y si ya cuentas con soluciones que protegen tus datos o respaldan tu información, TecnetProtect puede complementar perfectamente esa capa de seguridad, enfocándose en proteger el entorno físico y lógico donde viven esos datos. La clave está en combinar diferentes niveles de defensa:

1. Protege tus datos.

2. Protege tus dispositivos.

3. Protege tu red.