Mirai, el infame ejército del Internet de las Cosas, ahora puede minar Bitcoin

Este malware el año pasado disparaba spam contra sitios web o estructuras de Internet y ahora se metió con la principal criptomoneda.

Mirai es un malware que infecta artefactos del Internet de las Cosas (IoT, por sus siglas en inglés) y los convierte en parte de una gran red de poder de cómputo acumulado, denominada botnet. Durante el otoño pasado, obtuvo renombre por derribar varios de los mayores sitios web del mundo.

Se ha detectado una nueva versión que, además de ser capaz de emitir ataques DDoS y demás, está equipada para minar Bitcoin.

En la era digital, es posible para los hackers infectar y controlar artefactos desprotegidos del Internet de las Cosas (IoT), tales como tostadores, cámaras, y otros artefactos conectados a la red. Luego los acumulan en una botnet, y emplean esta capacidad combinada para disparar spam contra sitios web o estructuras de Internet, volviéndolos lentos o desconectándolos por completo.

Esto es lo que ocurrió durante una serie de ataques entre septiembre y noviembre del año pasado, empleando el malware llamado Mirai.

Poco tiempo después, el código de este software fue publicado abiertamente -para mayor disgusto de los ingenieros de seguridad- y, desde entonces, han aparecido montones de distintas cepas que modifican la versión original y le agregan habilidades adicionales.

Una cepa, conocida como ELF Linux/Mirai, ha sido detectada minando Bitcoin por algunos días, de acuerdo a investigaciones de IBM X-Force, el ala de investigación en ciber-seguridad de Big Blue. Parece que un hacker (o hackers) desconocido(s) está experimentando emplear el poder acumulado de los aparatos IoT para minar la moneda digital y, potencialmente, hacer dinero.

Este podría ser un mal presagio sobre futuros empleos de botnets IoT, señala Dave McMillen, jefe de investigaciones en IBM Managed Security Services y autor del reporte.

McMillen comenta:

Esta variante ELF/Mirai podría ser muy llamativa en el futuro debido a la cantidad potencialmente enorme de aparatos que podrían verse involucrados”.

El investigador señaló, sin embargo, que la botnet parece no haber sido capaz de minar con éxito ni un solo bitcoin. El equipo de seguridad considera que se trata de una prueba tentativa de una posibilidad a largo plazo.

‘Pitido’ minero

Así que, ¿qué fue lo que sucedió, y cómo logró IBM detectar el componente minero de la botnet?

McMillen lo explica, diciendo:

Detectamos un pico en la actividad de inyección de comandos en los datos de nuestro ambiente de clientes monitoreados en IBM X-Force, lo cual nos motivó a investigar en profundidad”.

El equipo de seguridad observó el tráfico relacionado con un archivo binario ELF de 64 bits, descrito en el reporte como un “pitido” inicial, que se fue haciendo cada vez más voluminoso hasta aumentar en un 50%, pero que desapareció para el octavo día.

El equipo “disecó” el archivo binario, descubriendo que la versión Linux de este malware es similar a la versión más típica de Windows.

“Varias herramientas lo detectaron como un esclavo minero, sin embargo, seguimos investigando otras propiedades de esta variante”, añade McMillen.

Mientras que existen muchas variantes de la botnet, ELF Linux/Mirai tiene habilidades extra como ejecutar una ‘Inyección SQL’ (un conocido método para tomar control de bases de datos) y ejecutar los llamados ataques de ‘fuerza bruta’.

Más la versión Linux tiene un añadido extra -el componente minador de Bitcoin (que se puede ver online aquí).

¿Amenaza futura?

IBM especula en su reporte que los creadores de la botnet pueden estar tratando de conseguir una manera lucrativa de minar bitcoins con los artefactos IoT infectados.

“Tomando en cuenta el poder de Mirai para infectar miles de máquinas a la vez, existe la posibilidad de que los mineros de Bitcoin pudiesen trabajar juntos en equipo como un enorme consorcio minero. Aún no hemos determinado esta capacidad, pero consideramos que se trata de una posibilidad interesante pero preocupante”, explica una publicación de blog, donde añade:

Un escenario posible sería que mientras los bots de Mirai están inactivos y a la espera de más instrucciones, podrían estar diseñados para entrar en modo de minería”.

Aunque ciertamente se trata de una idea especulativa, el reporte señala el hecho de que Bitcoin ha sido empleado para otros ciber-crímenes -como en el caso del ransomware (“software de secuestro”), un tipo de virus que encripta todos los datos en la computadora de un usuario a la vez que demanda un pago- ya que es una moneda descentralizada y se considera que potencia la privacidad.

Esta tecnología puede tener usos más benéficos, sin embargo. Por ejemplo, una compañía reveló recientemente que aspira a construir una botnet de Bitcoin para ayudar a asegurar los artefactos de IoT, pese a que combinar esta criptomoneda con tecnología también tiene el potencial para generar actividades virtuales menos beneficiosas.

Defensa simple

Así que, ¿cómo pueden los usuarios evitar que sus tostadores conectados a Internet sean convertidos en mineros esclavos de Bitcoin?

El malware Mirai aprovecha un vector de ataque sorprendentemente simple.

El problema es que muchos artefactos IoT vienen con contraseñas pre-instaladas. Y dado que muchos usuarios nunca las cambian, todo lo que tiene que hacer un atacante es encontrar la contraseña predeterminada para ‘hackear’ los artefactos.

La sugerencia de McMillen a los usuarios es cambiar estas contraseñas. Sin embargo, afirmó que espera que las compañías IoT también empiecen a enfrentar el problema.

Concluye diciendo:

Los productores podrían empezar a buscar formas de gestionar estas credenciales de maneras más seguras, quizás solicitando un cambio forzoso o aleatorizando los datos de ingreso predeterminados”.

Fuente: CoinDesk