Silex. Malware que esta convirtiendo miles de dispositivos en «pisapapeles».
Como comentaba en una entrada anterior Los dispositivos IoT (Internet of Things) se han convertido en objetivo para los ciberdelincuentes. Ven en dichos dispositivos una gran oportunidad para acceder a la red de la víctima. Es el caso del malware Silex que se aprovecha de las credenciales predeterminadas (usuarios y contraseñas por defecto) de esos dispositivos. En caso de poder acceder a ellos podrían borrar el almacenamiento, configurar a su antojo el firewall y modificar la configuración de red. Básicamente obtener el control total sobre ese equipo.
Lógicamente los dispositivos dejan de funcionar correctamente. Estamos hablando de equipos que en ocasiones tienen un precio bastante bajo, por lo que podrían ser reemplazados por uno nuevo. La solución pasaría por volver a instalar el firmware de nuevo, algo que muchos usuarios no harían por desconocimiento o porque simplemente crean más conveniente adquirir uno nuevo.
Ahora mismo hay un gran ataque masivo contra dispositivos IoT, según ZDNet, el cual se dice que inició hoy mismo y sigue creciendo con el paso de las horas. ‘Silex’ está borrando el firmware de los dispositivos como cámaras de vigilancia, cerraduras, bombillas, termostatos, routers, webcams y en general productos conectados que tengamos en nuestro hogar u oficina.
El objetivo: borrar el firmware e instalar exploits para ataques DDoS
De acuerdo a la información, este malware se basa en ‘BrickerBot‘, aquel malware que destruyó de forma permanente más de diez millones de dispositivos IoT en 2017. Y que a su vez nació tras crear una enorme botnet para un ataque DDoS contra Dyn, un importante proveedor de DNS a compañías como Twitter, Netflix o Spotify, que noqueó internet en 2016.
Larry Cashdollar, investigador de Akamai, fue el primero en detectar la presencia de Silex, quien de acuerdo a una investigación rápida, determinó que el malware tiene la capacidad de borrar todo el almacenamiento de los dispositivos IoT, eliminar las reglas del firewall, la configuración de la red y matar por completo el dispositivo.
Según explican, esto es lo más destructivo que le puede pasar a un dispositivo IoT, ya que lo siguiente sería quemar sus circuitos. Para que el dispositivo vuelva a funcionar, los usuarios deberán instalar manualmente el firmware y volver a configurar desde cero, una tarea complicada para la mayoría de los usuarios, por lo que se cree que muchos terminarán por desecharlos.
Según Cashdollar, el ataque proviene de un servidor en Irán y está dirigido a todos los dispositivos ARM bajo cualquier arquitectura y que ejecuten UNIX. De hecho, se dice que Silex tiene la capacidad de atacar servidores Linux si tienen puertos Telnet abiertos o si están protegidos con credenciales poco seguras.
De acuerdo a Ankit Anubhav, investigador de NewSky Security, el responsable detrás de Silex es un joven de 14 años conocido como ‘Light Leafon’. Anubhav menciona que confirmó su identidad tras comunicarse con él a través del C&C del servidor de Silex, lo que también sirvió para charlar y conocer más de sus planes.
De hecho, Anubhav afirma haber entrevistado anteriormente a Light Leafon para su podcast tras haber creado una botnet IoT. Ahora, Light Leafon asegura que el proyecto inició como una broma, pero que ahora se ha convertido en algo de tiempo completo, por lo que ha abandonado la antigua botnet para centrarse en Silex. Anubhav mencionó que Light Leafon busca desarrollar aún más el malware y añadir más funciones destructivas, buscando tener muchas de las capacidades de BrickerBot. Light explicó que quiere añadir la posibilidad de acceder a los dispositivos a través de SSH y sumar capacidades ransomware de Telnet.
También busca incorporar exploits, lo que le daría la capacidad de aprovechar vulnerabilidades para atacar y usar los dispositivos con otros fines, incluso podría crear una nueva y potente botnet para ataques DDoS. Hasta el momento no hay nada claro y todo se maneja a través de declaraciones de terceros. Lo que es un hecho, es que Silex está ahora mismo atacando miles de dispositivos IoT y no se ha anunciado una forma de poder protegerlos o prepararlos para esto.
Cómo evitar ser víctima de este problema
Silex se aprovecha de las credenciales predeterminadas que traen los dispositivos IoT. Es sin duda uno de los mayores errores que cometen los usuarios: dejar los valores predeterminados de fábrica sin cambiar. Por tanto nuestro primer consejo para evitar no solo ser víctima de este problema, sino también de otros similares, es cambiar siempre las credenciales. Una solución muy sencilla, pero eficaz. Es importante no mantener la contraseña que viene de fábrica y generar una fuerte y compleja. Es vital que esa clave que vamos a generar contenga letras (mayúsculas y minúsculas), números y otros símbolos especiales. Tiene que ser totalmente aleatoria, única y que no contenga datos personales. Así podremos aumentar la fortaleza de ese equipo.
Es muy importante tener los dispositivos actualizados. En ocasiones puede haber vulnerabilidades que son aprovechadas por los ciberdelincuentes. Los propios fabricantes pueden lanzar parches y actualizaciones de seguridad para corregir estos errores. Tenerlos instalados puede ayudar a que nuestros dispositivos estén seguros y no sean objeto de ataques.
Otro consejo es observar el control remoto de los dispositivos. En caso de que no sea realmente importante para su funcionamiento siempre podremos desactivarlo. Así evitaremos posibles ataques externos.
