El nuevo botnet PumaBot: un peligro latente que fuerza credenciales SSH para infiltrar dispositivos

La reciente aparición del botnet PumaBot, diseñado en Go y orientado a dispositivos Linux, ha encendido las alarmas en el mundo de la ciberseguridad. Este malware presenta una amenaza significativa al forzar credenciales SSH en dispositivos IoT embebidos, convirtiéndolos en instrumentos de ataques más sofisticados. En este artículo, profundizaremos en el funcionamiento de PumaBot, sus objetivos y cómo protegerte de esta amenaza digital.

¿Qué es PumaBot y cómo funciona?

PumaBot ha sido diseñado específicamente para llevar a cabo un ataque dirigido en lugar de escanear aleatoriamente por la red. Esto se evidencia en su método de operación; se alimenta de una lista de IPs objetivo que obtiene de un servidor de comando y control (C2). A diferencia de otros malware que realizan un barrido más amplio, PumaBot busca IPs específicas, lo que le hace mucho más efectivo y peligroso.

La técnica de fuerza bruta

El modus operandi del nuevo botnet PumaBot implica el uso de técnicas de fuerza bruta para acceder a los dispositivos mediante SSH. Este proceso se lleva a cabo en el puerto 22, donde el malware intenta login múltiples veces hasta encontrar credenciales válidas. Este enfoque dirigido podría poner en riesgo a varios dispositivos IoT, incluidos cámaras de seguridad y sistemas de tráfico, que son de particular interés.

Identificación y establecimiento de objetivos

Una vez que ha identificado su blanco, PumaBot verifica la presencia de una cadena específica: "Pumatronix". Esto indica que se dirige a dispositivos fabricados por un proveedor conocido. Esta metodología no solo maximiza sus posibilidades de éxito, sino que también subraya la sofisticación del malware.

Funcionalidades del malware

PumaBot no se limita a ingresar en los dispositivos: una vez que tiene éxito en su ataque, lleva a cabo varias acciones maliciosas:

1. Recopilación de información del entorno: Ejecuta el comando ‘uname -a’ para recolectar detalles sobre el dispositivo y asegurarse de que no es un honeypot (una trampa diseñada para atrapar a los hackers).

2. Instalación de su código malicioso: Copia su binario principal en el directorio /lib/redis y establece un servicio systemd para garantizar su persistencia tras un reinicio.

3. Persistencia a través de SSH: Agrega sus propias claves SSH en el archivo ‘authorized_keys’ del dispositivo afectado, lo que le permite el acceso continuo, incluso si se lleva a cabo una limpieza.

4. Desarrollo de capacidades de explotación: PumaBot puede actuar bajo orden para extraer información, introducir nuevas cargas útiles o realizar un movimiento lateral dentro de la red objetivo, utilizando credenciales robadas.

Ejemplos de cargas útiles

Según un informe de Darktrace, se han registrado varios tipos de cargas útiles que PumaBot puede desplegar, como:

• Scripts de autoactualización.
• Rootkits PAM que reemplazan el módulo legítimo ‘pam_unix.so’.
• Demonios que supervisan continuamente los dispositivos infectados.

Seguridad y prevención: ¿cómo protegerte de PumaBot?

La aparición de PumaBot resalta la necesidad de aumentar la seguridad en los dispositivos IoT. A continuación te ofrecemos varias recomendaciones para protegerte de éstas y otras amenazas.

Actualiza regularmente tus dispositivos

Mantener tu IoT actualizado con el último firmware disponible es crucial. Las actualizaciones generalmente incluyen parches de seguridad que pueden bloquear vectores de ataque utilizados por malware como PumaBot.

Cambia las credenciales predeterminadas

Uno de los errores más comunes es no cambiar las credenciales predeterminadas que vienen de fábrica. Muchos ataques de fuerza bruta se basan en la suposición de que las contraseñas no han sido modificadas. Por ello, reserva tiempo para establecer contraseñas robustas y únicas para cada dispositivo.

Implementa un firewall

Colocar tus dispositivos IoT detrás de un firewall puede añadir una capa adicional de seguridad que dificulta el acceso no autorizado. Un firewall bien configurado puede filtrar el tráfico entrante y saliente, protegiéndote de ataques externos.

Aísla los dispositivos IoT en redes separadas

Si es posible, configura una red específica solamente para tus dispositivos IoT. Esto no solo limita el acceso a otros sistemas valiosos en tu red, sino que también reduce el riesgo de que un malware como PumaBot cause daños significativos.

Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Implicaciones de la actividad de PumaBot

La actividad de PumaBot tiene implicaciones serias en el campo de la ciberseguridad. El hecho de que esté lanzando ataques dirigidos no solo pone en riesgo a dispositivos individuales, sino que también puede abrir puertas a infiltraciones profundas en redes corporativas.

Un potencial para el fraude cibernético

La capacidad de PumaBot para realizar movimientos laterales y recoger credenciales ssh plantea un riesgo significativo para las empresas. El malware no sólo infecta dispositivos; actúa como un facilitador para otros ataques cibernéticos más amplios que pueden comprometer redes enteras.

La necesidad de formación y conciencia sobre ciberseguridad

La educación y la conciencia sobre ciberseguridad son, quizás, las mejores defensas contra amenazas como PumaBot. A medida que los ataques se vuelven más sofisticados, la formación de los empleados y usuarios se convierte en un componente crítico para mantener la seguridad de los sistemas.

Recomendaciones adicionales

También conviene estar al tanto de las últimas tendencias y amenazas en ciberseguridad. Tener un entendimiento claro de cómo funcionan los diferentes tipos de malware puede ayudarte a estar un paso adelante de los atacantes. Considera la posibilidad de asistir a seminarios o talleres sobre ciberseguridad.

Herramientas de defensa

Además de las recomendaciones prácticas anteriores, es importante utilizar herramientas de defensa integrales. Herramientas como antivirus y antimalware son esenciales para detectar y neutralizar amenazas.

Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

En resumen

PumaBot representa un nuevo estilo de ataque en el campo de la ciberseguridad, utilizando métodos altamente estratégicos para vulnerar dispositivos IoT. La naturaleza dirigida de sus ataques y su capacidad para infiltrarse profundamente en redes corporativas lo convierten en una amenaza seria.

Con la adopción de buenas prácticas de seguridad y una actitud proactiva ante amenazas digitales, puedes reducir significativamente el riesgo que representa PumaBot y otros malware similares. La educación continua y la implementación de soluciones de seguridad son pasos clave para proteger tus dispositivos y tu red.

Fuente: https://www.bleepingcomputer.com/news/security/new-pumabot-botnet-brute-forces-ssh-credentials-to-breach-devices/