Kaspersky Lab

 

Notas de Prensa

22.02.2017

Kaspersky Lab analiza el primer propagador para el malware Mirai (IoT) basado en Windows

La capacidad de propagación del malware Mirai es limitada: sólo se puede entregar a los bots Mirai desde un host de Windows infectado hacia un dispositivo IoT Linux vulnerable, siempre y cuando sea capaz de forzar con éxito una conexión remota telnet

Los analistas de Kaspersky Lab están investigando Mirai, el primer propagador para el malware basado en Windows, dentro de su objetivo de cerrar ls botnets. Mirai busca atacar dispositivos IoT conectados a Internet. Parece que la bot de Windows la ha creado un desarrollador de habla china con habilidades más avanzadas que los ciberatacantes que desencadenaron los enormes ataques DDoS de Mirai a finales de 2016. Los datos de Kaspersky Lab muestran ataques en cerca de 500 sistemas únicos en 2017 y los mercados emergentes que han invertido mucho en tecnologías conectadas podrían estar particularmente en riesgo.

El propagador basado en Windows es más rico y más robusto que el basado en código original Mirai, pero la mayoría de los componentes, técnicas y funcionalidades del nuevo “spreader” tienen varios años. La capacidad de propagación del malware Mirai es limitada: sólo se puede entregar a los bots desde un host de Windows infectado hacia un dispositivo IoT Linux vulnerable, siempre y cuando sea capaz de forzar con éxito una conexión remota telnet.A pesar de esta limitación, el código es el resultado del trabajo de un desarrollador más experimentado, aunque probablemente nuevo en Mirai. Pruebas como pistas de lenguaje en el software, el hecho de que el código se compiló en un sistema chino, con servidores host en Taiwán y el abuso de certificados de código robados de empresas chinas, sugieren que el desarrollador probablemente sea chino.

"La aparición de un cruce de Mirai entre la plataforma Linux y la plataforma Windows es una preocupación real. La liberación del código fuente para el troyano de banca Zeus en 2011 ha traído problemas para la comunidad online durante años y el lanzamiento del código fuente de la bot Mirai IoT en 2016 ha hecho lo mismo. Los ciberatacantes más experimentados, con habilidades y técnicas cada vez más sofisticadas, están empezando a aprovechar el código Mirai disponible. Esto es solamente el principio", dice a Kurt Baumgartner, analista principal de la seguridad de Kaspersky Lab.

Los países más vulnerables son los mercados emergentes que han invertido fuertemente en tecnología conectada, como India, Vietnam, Arabia Saudita, China, Irán, Brasil, Marruecos, Turquía, Malawi , Emiratos Árabes Unidos, Pakistán, Túnez, Rusia, Moldavia, Venezuela, Filipinas, Colombia, Rumania, Perú, Egipto y Bangladesh.

Kaspersky Lab está trabajando con CERTs, proveedores de hosting y operadores de red para hacer frente a esta creciente amenaza de la infraestructura de Internet mediante la eliminación de un número significativo de servidores de comando y control. La eliminación rápida de estos servidores minimiza el riesgo. Kaspersky Lab utiliza su experiencia y sus relaciones con CERTs y proveedores de todo el mundo para ayudar a acelerar los resulados.

Los productos de Kaspersky Lab detectan y protegen contra los robots de Windows y Mirai:

Trojan.Win32.SelfDel.ehlq

Trojan.Win32.Agentb.btlt

Trojan.Win32.Agentb.budb

Trojan.Win32.Zapchast.ajbs

Trojan.BAT.Starter.hj

Trojan-PSW.Win32.Agent.lsmj

Trojan-Downloader.Win32.Agent.hesn

Trojan-Downloader.Win32.Agent.silgjn

Backdoor.Win32.Agent.dpeu

HEUR: Trojan-Downloader.Linux.Gafgyt.b

DangerousPattern.Multi.Generic (UDS)

Para obtener más información sobre las herramientas y técnicas del spreader Mirai basado en Windows, puede leer el blog en Securelist.com.

Contacto de Prensa

Virginia Sanz

Enviado por e-mail

Tel. + 34-(0) 91 502 59 59

Descargar documento

Kaspersky Lab on the Web

Virus Analyst Blogs