RapperBot: El nuevo malware de Linux que usa la fuerza bruta para obligar a los servidores SSH para violar las redes

Surgió una nueva botnet llamada RapperBot que está llevando a cabo ataques a mediados de junio de 2022, se centra en la fuerza bruta para abrirse paso hasta los servidores SSH de Linux, de esta forma se establecer un punto de apoyo para dicho dispositivo.

RapperBot El nuevo malware de Linux
RapperBot El nuevo malware de Linux

Surgió una nueva botnet llamada RapperBot que está llevando a cabo ataques a mediados de junio de 2022, se centra en la fuerza bruta para abrirse paso hasta los servidores SSH de Linux, de esta forma se establecer un punto de apoyo para dicho dispositivo.

Investigadores informaron que RapperBot está basado en el troyano Mirai, pero este se desvía del comportamiento normal del malware original, misma que es propagación descontrolada a tantos dispositivos cómo sea posible.

RapperBot en Linux
RapperBot en Linux

En cambio, este malware se encuentra estrictamente controlado, posee capacidades DDoS limitadas y su objetivo parece estar orientado al acceso inicial al servidor. Mismo que es usado como una clase de entrada, para el movimiento lateral dentro de cualquier red, en el último mes y medio después de su crecimiento.

La nueva red de bots hizo uso de más de 3500 direcciones IP únicas, esto fue en todo el mundo para así poder escanear e intentar forzar servidores SSH de Linux. A continuación, en este artículo te hablaremos acerca de RapperBot, y cómo este ha podido obligar a los servidores SSH para llevar a cabo múltiples violaciones de redes.

RapperBot está basado en Mirai pero es más agresivo 

Esta nueva nueva botnet fue descubierta por cazadores de amenazas en Fortinet, quienes notaron que el malware IoT muestra cadenas inusuales relacionadas con SSH, y por tal razón decidieron investigar a fondo.

RapperBot mostró ser una copia avanzada de Mirai, pero este tenía su propio comando y control (C2), características únicas y una actividad atípica para una botnet posterior al compromiso como tal. Cabe destacar, que a diferencia de la mayoría de las variantes de Mirai, que utilizan de forma nativa servidores Telnet de fuerza bruta que hacen uso de contraseñas predeterminadas o muy débiles.

Este malware de Linux escanea e infecta exclusivamente a servidores SSH, mismo que se encuentran configurados para aceptar la autenticación de contraseña.

¿Cómo está basado el código del malware RapperBot? 

La mayor parte del código de este malware es una implementación de un cliente SSH 2.0, mismo que puede conectarse y aplicar fuerza bruta a cualquier servidor SSH, que admita el intercambio de claves Diffie Hellmann.

Claro las claves deben ser de 768 bits y el cifrado de datos mediante AES128-CTR, debemos de tener en cuenta que la fuerza bruta SSH se basa en una lista de credenciales descargadas del C2.

Todo esto a través de solicitudes TCP exclusivas del host, mientras que el malware informa al C2 cuento este tiene completo éxito. Los investigadores siguieron a este bot y continuaron probando muchas variantes más, notando que RapperBot usaba un mecanismo de auto propagación a través de un descargador binario remoto, que fue eliminado por los actores de amenazas a inicios de julio.

Sus variantes más actuales presentaban un comando de Shell, que reemplaza las claves SSH de la víctima con las del actor, estableciendo así una resistencia que se mantiene incluso después de los cambios de contraseña SSH.

Además vale recalcar, que los autores de RapperBot agregaron capas adicionales de ofuscación a las cadenas en nuestras posteriores, cómo lo es la codificación XOR.

¿Cuál es el objetivo exacto de RapperBot? 

La mayoría de las redes de bots realizan ataques DDoS o se dedican además a la minería de monedas, todo mediante el secuestro de los recursos computacionales que tiene disponible el host, algunos hasta hacen ambos trabajos.

El objetivo exacto de RapperBot no es para nada evidente, ya que los autores han mantenido sus funciones DDoS limitadas, e incluso las han eliminado y posteriormente vuelto a introducir en otro momento.

También encontramos la eliminación de la auto propagación y la edición de mecanismos de resistencia y detección de evasión;  indican que los operadores de la Botnet podrían estar interesados en las ventas de acceso inicial a los actores de ransomware.

El malware simplemente anida en los hosts Linux infectados, y permanece en ellos inactivo hasta realizar el trabajo para el cuál ha sido creado.

No debemos dudar de la inseguridad y problemas de privacidad que puede presentar el malware de Linux, RapperBot, ¿qué piensas tú al respecto de este problema?.