TLP: Amber
NIVEL DE RIESGO – [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Inoperatividad de los dispositivos afectados.

Descripción

De acuerdo con las investigaciones de una firma de seguridad, se ha descubierto una nueva botnet P2P (Peer-to-peer) llamada “HEH” que se propaga por medio del protocolo Telnet en los puertos 23 y 2323. Esta botnet es capaz de infectar routers, servidores y dispositivos de Internet de las cosas (IoT) para borrar datos y dejarlos inoperables.

La característica principal de esta botnet es que se propaga realizando ataques de fuerza bruta, aprovechándose de equipos con puertos Telnet expuestos a Internet y con contraseñas débiles. HEH es capaz de afectar a múltiples arquitecturas incluyendo x86 y ARM ambas en sus versiones de 32 y 64bits, así como MIPS32 y MIPS-III, entre otros.

En la muestra analizada por los expertos, se identificó que HEH cuenta con 3 módulos principales, uno para realizar los ataques de fuerza bruta y propagarse, otro utiliza el protocolo HTTP para suspender servicios a través del puerto 80 y el tercer módulo P2P para establecer y mantener la conexión.

Esta botnet es novedosa debido a que es capaz de autodestruirse ejecutando una instrucción en línea de comandos con un número de código específico, borra toda la información de la amenaza contenida en los discos y elimina el firmware o sistema operativo del dispositivo, de manera que bloquea el acceso a este hasta que se reinstale el firmware. Debido a que es una botnet relativamente nueva, aún no se sabe con veracidad si esta operación es intencional o solo es una rutina mal ejecutada que provoca este borrado.

Es importante mencionar que esta botnet aún contiene algunos errores por lo que se considera que no está desarrollada en su totalidad, sin embargo, se cree que será mejorada por los usuarios malintencionados y en un futuro pueda ser usada para ataques de denegación de servicio (DoS) y distribución de códigos maliciosos.

Nivel de riesgo

  • [Medio]

Sistemas/tecnologías afectadas:

  • Sistemas con arquitecturas x86 (32/64)
  • Sistemas con arquitectura ARM (32/68)
  • Sistemas con arquitectura MISP (MIPS32 / MIPS-III)
  • Sistemas con arquitectura PPC

Indicaddores de compromiso(IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5
    • 4c345fdea97a71ac235f2fa9ddb19f05
    • 66786509c16e3285c5e9632ab9019bc7
    • 6be1590ac9e87dd7fe19257213a2db32
    • 6c815da9af17bfa552beb8e25749f313
    • 984fd7ffb7d9f20246e580e15fd93ec7
    • bd07315639da232e6bb4f796231def8a
    • c1b2a59f1f1592d9713aa9840c34cade
    • c2c26a7b2a5412c9545a46e1b9b37b0e
    • 43de9c5fbab4cd59b3eab07a81ea8715

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Implementar una política de contraseñas fuertes que sean cambiadas de manera periódica.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Evitar tener el protocolo Telnet expuesto a Internet.
  • Monitorear el tráfico de la red para detectar actividad inusual en la red.

Referencias