Los dispositivos de la IOT (Internet de las Cosas) están impulsando el número de variantes de malware para Linux.
Los sistemas basados en Linux están en todas partes y son una parte fundamental de la infraestructura de Internet, pero son los dispositivos de baja potencia de la Internet de las cosas (IoT) los que se han convertido en el principal objetivo del malware para Linux.
Con miles de millones de dispositivos conectados a Internet, como coches, frigoríficos y dispositivos de red en línea, los dispositivos IoT se han convertido en un objetivo principal para determinadas actividades de malware, concretamente los ataques de denegación de servicio distribuidos (DDoS), en los que el tráfico basura pretende inundar un objetivo y dejarlo fuera de servicio.
El proveedor de seguridad CrowdStrike dice en un nuevo informe que las familias de malware basadas en Linux más prevalentes en 2021 fueron XorDDoS, Mirai y Mozi, que en conjunto representaron el 22% de todo el malware de IoT basado en Linux ese año. Estos también fueron uno de los principales impulsores del malware dirigido a todos los sistemas basados en Linux, que creció un 35% en 2021 en comparación con 2020.
Mozi, que surgió en 2019, es una botnet peer-to-peer que utiliza la tabla de hash distribuida (DHT) -un sistema de búsqueda- y se basa en contraseñas Telnet débiles y vulnerabilidades conocidas para atacar dispositivos de red, IoT y grabadores de vídeo, entre otros productos conectados a Internet. El uso de DHT permite a Mozi ocultar su comunicación de comando y control detrás del tráfico legítimo de DHT. Hubo 10 veces más muestras de Mozi en 2021 en comparación con 2020, señala Crowdstrike.
XorDDoS, una red de bots de Linux para ataques DDoS a gran escala, ha existido desde al menos 2014 y explora la red en busca de servidores Linux con servidores SSH que no estén protegidos con una contraseña fuerte o claves de cifrado. Intenta adivinar la contraseña para dar a los atacantes el control remoto del dispositivo.
Más recientemente, XorDDoS comenzó a atacar clusters Docker mal configurados en la nube en lugar de sus objetivos históricos, como routers y dispositivos inteligentes conectados a Internet. Los contenedores Docker son atractivos para el malware de minería de criptomonedas porque proporcionan más ancho de banda, CPU y memoria, pero el malware DDoS se beneficia de los dispositivos IoT porque proporcionan más protocolos de red de los que abusar. Sin embargo, como muchos dispositivos IoT ya están infectados, los clusters Docker se convirtieron en un objetivo alternativo.
Según CrowdStrike, algunas variantes de XorDDoS están construidas para escanear y buscar servidores Docker con el puerto 2375 abierto, ofreciendo un socket Docker sin cifrar y acceso remoto root sin contraseña al host. Esto puede dar al atacante acceso root a la máquina.
Las muestras de malware XorDDoS han aumentado casi un 123% en 2021 en comparación con 2020, según la firma.
Mirai también se propaga dirigiéndose a servidores Linux con contraseñas débiles. Las variantes de Mirai más prevalentes hoy en día incluyen Sora, IZIH9 y Rekai, que aumentaron en los recuentos de nuevas muestras en un 33%, 39% y 83% respectivamente en 2021, según CrowdStrike.