Apodado Chaos, el malware está diseñado para llevar a cabo varios tipos de ciberataques contra sistemas Windows y Linux, para utilizarlos para la minería de criptomonedas y lanzar ataques DDoS. Este malware basado en Go también puede infectar varias arquitecturas, como x86, x86-64, AMD64, MIPS, MIPS64, ARMv5-ARMv8, AArch64 y PowerPC utilizadas por una amplia gama de dispositivos. En concreto hablamos de dispositivos tales como routers de pequeñas oficinas, cajas FreeBSD y servidores de grandes empresas.
Fue descubierto por primera vez el 16 de abril, aunque desde junio hasta mediados de julio, los investigadores encontraron cientos de direcciones IP únicas que tenían dispositivos con infección Chaos, como fue apodado. Mediante este malware, que se intuye que tiene origen chino, han atacado a organizaciones relacionadas con el mundo de los de los videojuegos, los servicios financieros, la tecnología, los medios de comunicación y el entretenimiento, y las bolsas de criptomonedas mediante ataques DDoS.
«Dada la idoneidad del malware Chaos para operar a través de una gama de dispositivos, su funcionalidad multipropósito y el perfil de sigilo de la red detrás de él, esta actividad es el trabajo de un cibercriminal que está cultivando una red de dispositivos infectados para aprovechar el acceso inicial, los ataques DDoS y la minería de criptomonedas», explican dos de sus investigadores.
-Malware Chaos: rápido crecimiento y cómo sortearlo
El problema principal es que Chaos ha demostrado un rápido crecimiento en los últimos meses. Los servidores utilizados para infectar nuevos dispositivos se han multiplicado en los últimos meses, pasando de 39 en mayo a 93 en agosto. Hasta el martes pasado, el número ascendía a 111.
Las direcciones IP infectadas indican que las infecciones de Chaos se concentran sobre todo en Europa, con focos más pequeños en América del Norte y del Sur y Asia-Pacífico. Las únicas excepciones son Australia y Nueva Zelanda, donde no se han detectado bots de Chaos hasta ahora. Los detalles técnicos del malware están disponibles en una publicación del blog de Lumen.
Teniendo en cuenta que Chaos se dirige a dispositivos que no se supervisan de forma rutinaria y que carecen de parches, una revisión constante debería ayudar a frustrar los ataques y mantener nuestra seguridad. Y lo que es más importante, los investigadores de Black Lotus Labs aconsejan realizar procedimientos de gestión de parches adecuados y periódicos, ya que busca vulnerabilidades para propagar su infección.
Por otro lado, con el objetivo de evitar este malware y mejorar la seguridad, aconsejan reiniciar los routers empresariales cada semana, ya que la mayoría del malware de los routers no sobrevive a un reinicio. Además, se recomienda cambiar las contraseñas por defecto con las que se suministran estos dispositivos en un principio.