Una recién creada botnet, compuesta por firewalls y routers de Cisco, DrayTek, Fortinet y NETGEAR, está siendo utilizada como una red encubierta para la transferencia de datos por actores de amenazas persistentes avanzadas. Esto incluye al actor de amenazas vinculado a China conocido como “Tifón de voltios”.

Apodada KV-botnet por el equipo de Black Lotus Labs en Lumen Technologies, esta red maliciosa es una fusión de dos grupos de actividades complementarias que han estado activos desde al menos febrero de 2022.

“La campaña infecta dispositivos en el borde de las redes, un segmento que ha surgido como un punto débil en la estrategia defensiva de muchas empresas, agravado por el cambio hacia el trabajo remoto en los últimos años”, dijo la empresa.

Routers Roasting on an Open Firewall: the KV-botnet Investigation

Lumen

Según informes, los dos grupos, conocidos como KY y JDY, trabajan en estrecha colaboración, a pesar de tener nombres en código distintos. Su colaboración tiene como objetivo facilitar el acceso a víctimas de alto perfil y establecer una infraestructura encubierta. Los datos de telemetría indican que la botnet está siendo controlada desde direcciones IP ubicadas en China.

Mientras que los bots de JDY se centran en un escaneo más amplio mediante técnicas menos sofisticadas, se cree que el componente KY, que utiliza productos en gran medida obsoletos y al final de su vida útil, se reserva para operaciones manuales dirigidas a objetivos de alto perfil previamente seleccionados por JDY.

Se sospecha que el grupo Volt Typhoon es al menos un usuario de la botnet KV y abarca parte de su infraestructura operativa. Esto se evidencia por la notable disminución de las operaciones en junio y principios de julio de 2023, coincidiendo con la divulgación pública del ataque colectivo adversario a infraestructuras críticas en Estados Unidos.

Según Microsoft, la cual fue la primera en exponer las tácticas de este actor de amenazas, su modus operandi implica intentar integrarse en la actividad normal de la red, dirigiendo el tráfico a través de equipos de red comprometidos, especialmente en pequeñas oficinas y oficinas domésticas (SOHO), lo que incluye routers, firewalls y hardware VPN.

El proceso exacto del mecanismo de infección inicial utilizado para comprometer estos dispositivos aún no se conoce completamente. Posteriormente, se inicia la primera etapa del malware, que implementa medidas para eliminar programas de seguridad y otras cepas de malware, asegurando así que sea la “única presencia” en estos sistemas.

Asimismo, está diseñado para recuperar la carga útil principal desde un servidor remoto que, además de conectarse al mismo servidor, tiene la capacidad de cargar y descargar archivos, ejecutar comandos y activar módulos adicionales.

En el último mes, la infraestructura de la botnet experimentó una renovación, centrándose especialmente en las cámaras IP de Axis. Este cambio sugiere que los operadores podrían estar preparándose para una nueva ola de ataques.

“Un aspecto notable de esta campaña es que todas las herramientas parecen residir completamente en la memoria”, señalan los investigadores. “Esto hace que la detección sea sumamente difícil, a expensas de la persistencia a largo plazo”.

“Aunque apagar el dispositivo detiene la infección debido a que el malware reside completamente en la memoria, la reinfección es una ocurrencia regular”

Recomendaciones:

1. Actualización y Parches:
   • Mantén tus dispositivos y software actualizados con los últimos parches de seguridad. Esto ayuda a cerrar posibles vulnerabilidades explotadas por malware.
2. Contraseñas Fuertes:
   • Utiliza contraseñas sólidas y cámbialas regularmente. Asegúrate de que tus dispositivos y sistemas estén protegidos con credenciales robustas.
3. Firewalls y Seguridad de Red:
   • Configura firewalls y asegúrate de que tu red esté bien protegida. Restringe el acceso a servicios no esenciales y monitorea el tráfico de red en busca de actividad sospechosa.
4. Concientización del Usuario:
   • Educa a los usuarios sobre las amenazas de seguridad cibernética. La conciencia y la capacitación pueden ayudar a prevenir la ejecución de acciones no seguras.
5. Monitoreo Continuo:
   • Implementa sistemas de monitoreo continuo para identificar patrones de tráfico inusuales o actividades maliciosas. La detección temprana es clave para mitigar el impacto.

Conclusiones:

1. Resiliencia en la Memoria:
   • La capacidad de este malware para residir completamente en la memoria destaca la importancia de implementar medidas de seguridad que aborden las amenazas en este nivel. Sin embargo, también resalta la dificultad de detectar y eliminar el malware una vez que ha infectado un dispositivo.
2. Vigilancia Permanente:
   • Dada la posibilidad de reinfección tras reiniciar un dispositivo, es crucial mantener una vigilancia constante y tomar medidas proactivas para identificar y neutralizar amenazas de seguridad en tiempo real.
3. Estrategias de Respuesta Rápida:
   • Desarrolla y practica planes de respuesta a incidentes. La capacidad de responder rápidamente a una amenaza puede reducir significativamente el impacto y la propagación del malware.
4. Colaboración y Compartir Información:
   • Colabora con comunidades de ciberseguridad y comparte información sobre nuevas amenazas. La cooperación puede fortalecer las defensas y proporcionar a otros los conocimientos necesarios para protegerse contra ataques similares.
5. Adaptabilidad en la Seguridad:
   • La evolución constante de la infraestructura de la botnet destaca la necesidad de adaptabilidad en las estrategias de seguridad. Las organizaciones deben estar preparadas para ajustar sus medidas de seguridad según evolucionen las amenazas.

fuente: newslumen