Los investigadores de seguridad han advertido sobre una nueva variedad de malware llamada Silex, diseƱada para borrar el firmware de los dispositivos de IoT, haciĆ©ndolos completamente inutilizables. Inicialmente, los ataques fueron detectados por el investigador de Akamai, Larry Cashdollar, quien dijo que el malware logrĆ³ bloquear mĆ”s de 2,000 dispositivos de IoT en el lapso de unas pocas horas y los ataques aĆŗn continĆŗan.
De acuerdo con Cashdollar, el malware Silex destruye el almacenamiento de los dispositivos infectados al escribir datos aleatorios de / dev / random a cualquier almacenamiento montado que encuentre, elimina las reglas del firewall, borra las configuraciones de red y borra todas las entradas de iptables, agregando una que bloquea todas las conexiones antes de detener la conexiĆ³n. sistema. La Ćŗnica forma de recuperar el dispositivo bloqueado es reinstalar manualmente el firmware.
It seems a bricker bot (silexbot) is on the move again. pic.twitter.com/tCScT8z2rK— Larry W. Cashdollar (@_larry0) 25 de junio de 2019
Para comprometer el dispositivo, el malware utiliza una lista de credenciales predeterminadas conocidas para dispositivos IoT. Se dirige a cualquier sistema similar a Unix con credenciales de inicio de sesiĆ³n predeterminadas, incluidos los servidores Linux con puertos Telnet abiertos que usan credenciales dĆ©biles, explicĆ³ Cashdollar. Dijo que la direcciĆ³n IP detrĆ”s de los ataques observados estĆ” alojada en un servidor VPS propiedad de novinvps.com, que se opera desde IrĆ”n. Esta IP ya se ha agregado a la lista negra de URLhaus.
Otro investigador, Ankit Anubhav de NewSky Security ha logrado rastrear al operador detrĆ”s del malware. Anubhav cree que el autor de Silex es un adolescente iranĆ de 14 aƱos, conocido en lĆnea con el seudĆ³nimo de Light Leafon. El mismo chico tambiĆ©n ha creado la botnet HITO IoT.
En una conversaciĆ³n con el investigador, Light Leafon explicĆ³ que inicialmente el malware Silex se creĆ³ como una broma, pero ahora se ha convertido en un proyecto a gran escala. En el futuro, planea agregar mĆ”s capacidades al malware, incluida la capacidad de iniciar sesiĆ³n en dispositivos IoT a travĆ©s de SSH y una lista de vulnerabilidades para comprometer los dispositivos mediante la explotaciĆ³n de vulnerabilidades en ellos.
