Los investigadores de seguridad han advertido sobre una nueva variedad de malware llamada Silex, diseñada para borrar el firmware de los dispositivos de IoT, haciéndolos completamente inutilizables. Inicialmente, los ataques fueron detectados por el investigador de Akamai, Larry Cashdollar, quien dijo que el malware logró bloquear más de 2,000 dispositivos de IoT en el lapso de unas pocas horas y los ataques aún continúan.
De acuerdo con Cashdollar, el malware Silex destruye el almacenamiento de los dispositivos infectados al escribir datos aleatorios de / dev / random a cualquier almacenamiento montado que encuentre, elimina las reglas del firewall, borra las configuraciones de red y borra todas las entradas de iptables, agregando una que bloquea todas las conexiones antes de detener la conexión. sistema. La única forma de recuperar el dispositivo bloqueado es reinstalar manualmente el firmware.
It seems a bricker bot (silexbot) is on the move again. pic.twitter.com/tCScT8z2rK— Larry W. Cashdollar (@_larry0) 25 de junio de 2019
Para comprometer el dispositivo, el malware utiliza una lista de credenciales predeterminadas conocidas para dispositivos IoT. Se dirige a cualquier sistema similar a Unix con credenciales de inicio de sesión predeterminadas, incluidos los servidores Linux con puertos Telnet abiertos que usan credenciales débiles, explicó Cashdollar. Dijo que la dirección IP detrás de los ataques observados está alojada en un servidor VPS propiedad de novinvps.com, que se opera desde Irán. Esta IP ya se ha agregado a la lista negra de URLhaus.
Otro investigador, Ankit Anubhav de NewSky Security ha logrado rastrear al operador detrás del malware. Anubhav cree que el autor de Silex es un adolescente iraní de 14 años, conocido en línea con el seudónimo de Light Leafon. El mismo chico también ha creado la botnet HITO IoT.
En una conversación con el investigador, Light Leafon explicó que inicialmente el malware Silex se creó como una broma, pero ahora se ha convertido en un proyecto a gran escala. En el futuro, planea agregar más capacidades al malware, incluida la capacidad de iniciar sesión en dispositivos IoT a través de SSH y una lista de vulnerabilidades para comprometer los dispositivos mediante la explotación de vulnerabilidades en ellos.
