Un grupo de investigadores de seguridad ha descubierto una nueva botnet denominada HEH. Se trata de una más de las muchas amenazas que hay en la red y que puede poner en riesgo nuestros equipos. Sin embargo esta tiene una peculiaridad, y es que puede ser utilizada para borrar routers, servidores o cualquier dispositivo de lo que conocemos como el Internet de las Cosas que haya conectado en esa red.
HEH, la botnet que borra dispositivos
Esta botnet que ha sido descubierta recientemente cuenta con código que permite borrar todos los datos de los sistemas que ha infectado. Esto puede hacer que un router, servidor o cualquier dispositivo IoT se vea afectado y los datos terminen borrados.
Se propaga a través del lanzamiento de ataques de fuerza bruta contra cualquier sistema conectado a Internet que tenga sus puertos SSH (23 y 2323) expuestos en la red. En caso de que el dispositivo use credenciales SSH predeterminadas o fáciles de adivinar, la botnet obtiene acceso al sistema, donde descarga inmediatamente uno de los siete binarios que instalan el malware HEH.
Hay que indicar que este malware HEH no contiene ninguna característica ofensiva, como puede ser la capacidad de lanzar ataques DDoS, la capacidad de instalar mineros de criptomonedas o el código para ejecutar proxies y derivar tráfico a sitios maliciosos.
Características de la botnet HEH
Sin embargo, dentro de las características con las que sí cuenta podemos nombrar la función que atrapa los dispositivos infectados y los obliga a realizar ataques de fuerza bruta SSH a través de Internet para ayudar a amplificar la botnet. También una función que permite a los atacantes ejecutar comandos de Shell en el dispositivo infectado. Además tiene una variación de esta segunda función que ejecuta una lista de operaciones de Shell predefinidas que borran todas las particiones del dispositivo.
La botnet HEH ha sido descubierta por investigadores de seguridad de Netlab. Se trata de una amenaza relativamente nueva, por lo que no cuentan aún con toda la información necesaria para saber si el borrado de dispositivos es una función que lleve a cabo siempre. No obstante, indican que si esta función se utiliza frecuentemente podría derivar en el bloqueo de cientos o miles de dispositivos.
Dentro de los equipos que podrían verse afectados por esta amenaza podemos nombrar routers, dispositivos IoT de todo tipo o servidores. Básicamente puede infectar cualquier equipo que cuente con puertos SSH con seguridad débil. Aquí hay que incluir también sistemas Windows.
Con el borrado de particiones también se borra el firmware o sistema operativo de ese dispositivo. Esto es lo que provocaría que se bloqueen los equipos al menos temporalmente hasta que vuelva a ser instalado el firmware o el sistema operativo. Ahora bien, en un extremo podría significar que ese equipo deje de funcionar para siempre, ya que podría no ser sencillo el volver a instalar el firmware.
Desde Netlab han indicado que detectaron muestras HEH que pueden ejecutarse en las siguientes arquitecturas de CPU: x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) y PPC.
Vía: ZDNET