{"id":307710,"date":"2022-08-07T06:41:02","date_gmt":"2022-08-07T06:41:02","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-malware-iot-rapperbot-dirigido-a-servidores-linux-a-traves-de-un-ataque-de-fuerza-bruta-ssh\/"},"modified":"2022-08-07T06:41:04","modified_gmt":"2022-08-07T06:41:04","slug":"nuevo-malware-iot-rapperbot-dirigido-a-servidores-linux-a-traves-de-un-ataque-de-fuerza-bruta-ssh","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-malware-iot-rapperbot-dirigido-a-servidores-linux-a-traves-de-un-ataque-de-fuerza-bruta-ssh\/","title":{"rendered":"Nuevo malware IoT RapperBot dirigido a servidores Linux a trav\u00e9s de un ataque de fuerza bruta SSH"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un nuevo malware de botnet IoT denominado raperobot<\/b> Se ha observado que sus capacidades evolucionan r\u00e1pidamente desde que se descubri\u00f3 por primera vez a mediados de junio de 2022.<\/p>\n

“Esta familia se basa en gran medida en el c\u00f3digo fuente original de Mirai, pero lo que la separa de otras familias de malware de IoT es su capacidad integrada para obtener credenciales de fuerza bruta y obtener acceso a servidores SSH en lugar de Telnet como se implement\u00f3 en Mirai”, Fortinet FortiGuard Labs. dijo<\/a> en un informe<\/p>\n

Se dice que el malware, que recibe su nombre de una URL incrustada en un video musical de rap de YouTube en una versi\u00f3n anterior, acumul\u00f3 una colecci\u00f3n cada vez mayor de servidores SSH comprometidos, con m\u00e1s de 3500 direcciones IP \u00fanicas utilizadas para escanear y forzar su camino. en los servidores.<\/p>\n

\"La<\/a><\/div>\n

La implementaci\u00f3n actual de RapperBot tambi\u00e9n lo diferencia de Mirai, lo que le permite funcionar principalmente como una herramienta de fuerza bruta SSH con capacidades limitadas para llevar a cabo ataques de denegaci\u00f3n de servicio distribuido (DDoS).<\/p>\n

La desviaci\u00f3n del comportamiento tradicional de Mirai se evidencia a\u00fan m\u00e1s en su intento de establecer la persistencia en el host comprometido, lo que permite efectivamente que el actor de amenazas mantenga el acceso a largo plazo mucho despu\u00e9s de que se haya eliminado el malware o se haya reiniciado el dispositivo.<\/p>\n

Los ataques implican objetivos potenciales de fuerza bruta utilizando una lista de credenciales recibidas de un servidor remoto. Al ingresar con \u00e9xito a un servidor SSH vulnerable, las credenciales v\u00e1lidas se filtran nuevamente al comando y control.<\/p>\n

“Desde mediados de julio, RapperBot ha pasado de la autopropagaci\u00f3n a mantener el acceso remoto a los servidores SSH de fuerza bruta”, dijeron los investigadores.<\/p>\n

\"Software<\/div>\n

El acceso se logra agregando la clave p\u00fablica SSH de los operadores a un archivo especial llamado “~\/.ssh\/autorizadas_claves<\/a>“, lo que permite al adversario conectarse y autenticarse en el servidor utilizando la clave privada privada correspondiente sin tener que proporcionar una contrase\u00f1a.<\/p>\n

“Esto presenta una amenaza para los servidores SSH comprometidos, ya que los actores de amenazas pueden acceder a ellos incluso despu\u00e9s de que se hayan cambiado las credenciales de SSH o se haya desactivado la autenticaci\u00f3n de contrase\u00f1a de SSH”, explicaron los investigadores.<\/p>\n

“Adem\u00e1s, dado que se reemplaza el archivo, se eliminan todas las claves autorizadas existentes, lo que evita que los usuarios leg\u00edtimos accedan al servidor SSH a trav\u00e9s de la autenticaci\u00f3n de clave p\u00fablica”.<\/p>\n

El cambio tambi\u00e9n permite que el malware mantenga su acceso a estos dispositivos pirateados a trav\u00e9s de SSH, lo que permite al actor aprovechar el punto de apoyo para realizar ataques de denegaci\u00f3n de servicio al estilo Mirai.<\/p>\n

Estas diferencias con otras familias de malware de IoT han tenido el efecto secundario de convertir sus motivaciones principales en un misterio, un hecho que se complica a\u00fan m\u00e1s por el hecho de que los autores de RapperBot han dejado pocas o ninguna se\u00f1al reveladora de su procedencia.<\/p>\n

\"La<\/a><\/div>\n

A pesar del abandono de la autopropagaci\u00f3n a favor de la persistencia, se dice que la botnet ha sufrido cambios significativos en un corto per\u00edodo de tiempo, siendo el principal de ellos la eliminaci\u00f3n de las caracter\u00edsticas de ataque DDoS de los artefactos en un punto, solo para ser reintroducido un Semana despues.<\/p>\n

Los objetivos de la campa\u00f1a, en \u00faltima instancia, siguen siendo nebulosos en el mejor de los casos, sin que se observe actividad de seguimiento despu\u00e9s de un compromiso exitoso. Lo que est\u00e1 claro es que los servidores SSH con credenciales predeterminadas o adivinables est\u00e1n siendo acorralados en una botnet para alg\u00fan prop\u00f3sito futuro no especificado.<\/p>\n

Para evitar este tipo de infecciones, se recomienda que los usuarios establezcan contrase\u00f1as seguras para los dispositivos o deshabiliten la autenticaci\u00f3n de contrase\u00f1a para SSH cuando sea posible.<\/p>\n

“Aunque esta amenaza toma prestado en gran medida el c\u00f3digo de Mirai, tiene caracter\u00edsticas que la diferencian de su predecesora y sus variantes”, dijeron los investigadores. “Su capacidad para persistir en el sistema de la v\u00edctima brinda a los actores de amenazas la flexibilidad de usarlos para cualquier prop\u00f3sito malicioso que deseen”.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Un nuevo malware de botnet IoT denominado raperobot Se ha observado que sus capacidades evolucionan r\u00e1pidamente desde que<\/p>\n","protected":false},"author":1,"featured_media":307711,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1247,4661,76225,4664,4671,4662,350,10888,4668,4667,18038,4669,4654,4658,4659,4653,4655,480,4663,97744,4666,4665,7982,97745,116,4660],"class_list":["post-307710","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataque","tag-ataques-ciberneticos","tag-bruta","tag-como-hackear","tag-dirigido","tag-filtracion-de-datos","tag-fuerza","tag-iot","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-linux","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevo","tag-programa-malicioso-ransomware","tag-rapperbot","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servidores","tag-ssh","tag-traves","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/307710","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=307710"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/307710\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/307711"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=307710"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=307710"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=307710"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}