En su nueva versión, IPStorm se propaga atacando los sistemas Unix, incluidos Linux, Android y Darwin, que ejecutan servidores SSH conectados a Internet con credenciales débiles o servidores ADB no seguros. Sus capacidades incluyen la capacidad de crear una puerta trasera en un dispositivo que ejecute comandos de shell y generar tráfico malicioso escaneando Internet e infectando otros dispositivos. Bitdefender ha determinado que el objetivo principal de la botnet es convertir los dispositivos infectados en proxies como parte de un plan con fines lucrativos. La mayoría de las víctimas de esta botnet se encuentra en Asia, aunque tiene una presencia global, con víctimas también en España.
La monitorización constante del ciclo de vida de desarrollo de Interplanetary Storm ha revelado que los ciberdelincuentes detrás de ella han dominado el uso de Golang y las mejores prácticas de desarrollo, así como el ocultamiento de los nodos de gestión de botnets. Al mismo tiempo, Interplanetary Storm tiene una infraestructura compleja y modular diseñada para encontrar y comprometer nuevos objetivos, impulsar y sincronizar nuevas versiones del malware, ejecutar comandos arbitrarios en máquinas infectadas y comunicarse con un servidor C2 que expone una API.
Los operadores de la botnet InterPlanetary Storm han ampliado su alcance al lanzar una nueva variante del malware dirigida a dispositivos Mac y Android además de máquinas Windows y Linux, según un nuevo informe de los investigadores de Barracuda.
El malware está construyendo una botnet, que ahora incluye aproximadamente 13.500 dispositivos en 84 países de todo el mundo, la mayoría de ellos ubicados en Hong Kong, Corea del Sur y Taiwán. Las infecciones también se detectaron en Rusia, Brasil, Estados Unidos, Canadá, Suecia y China.
“El malware se llama InterPlanetary Storm porque utiliza la red p2p del InterPlanetary File System (IPFS) y su implementación libp2p subyacente. Esto permite que los nodos infectados se comuniquen entre sí directamente o a través de otros nodos (es decir, relés) ”, explican los investigadores.
La nueva versión del malware compromete las máquinas víctimas a través de un ataque de diccionario contra servidores SSH o accediendo a servidores ADB (Android Debug Bridge) abiertos. El malware detecta la arquitectura de la CPU y el sistema operativo en ejecución de sus víctimas, y puede ejecutarse en máquinas basadas en ARM.
Una variante de Windows de InterPlanetary Storm fue descubierta y detallada por primera vez por investigadores de Anomali en mayo de 2019. En junio de 2020, se descubrió una versión de Linux del malware y, a fines de agosto, surgió una nueva variante capaz de atacar dispositivos IoT, como televisores que se ejecutan en sistemas operativos Android y máquinas basadas en Linux, como enrutadores con servicio SSH mal configurado.
La nueva variante de InterPlanetary Storm viene con características únicas que le ayudan a mantener la persistencia en las máquinas infectadas, como la capacidad de detectar honeypots y persistir instalando un servicio (system / systemv), actualizarse automáticamente y eliminar otros procesos en la máquina. que representan una amenaza para el malware, como los depuradores y el malware de la competencia, al verificar cadenas de caracteres como “rig”, “xig” y “debug”.
Una vez comprometidos, los dispositivos se comunican con el servidor de comando y control (C2) para informar que forman parte de la botnet. Las identificaciones de cada máquina infectada se generan durante la infección inicial y se reutilizarán si la máquina se reinicia o el malware se actualiza, dijeron los investigadores.
Para defenderse de esta amenaza, los investigadores recomiendan a los usuarios que configuren correctamente el acceso SSH en todos los dispositivos, utilicen una herramienta de gestión de la postura de seguridad en la nube para monitorear el control de acceso SSH para eliminar cualquier error de configuración y para implementar una conexión VPN habilitada para MFA y segmentar las redes para el necesidades específicas en lugar de otorgar acceso a amplias redes IP.
