Una botnet maliciosa detectada hace apenas unos días se desactiva a sí misma

Resumen:

Los operadores de la recién detectada red de bots de KmsdBot desactivaron sin querer su operación.

 

Hace apenas unos días, los investigadores de Akamai detectaron por primera vez la botnet.

 

KmsdBot era una amenaza escrita en Go aparentemente peligrosa, que utilizaba las conexiones SSH con credenciales de inicio de sesión para penetrar en el sistema de sus víctimas.

 

Algunas de las capacidades de la botnet incluían el minado de criptomonedas y el despliegue de ataques DDoS.

 

Además, la amenaza solía dirigirse a objetivos relacionados con el sector del juego, la tecnología y de automóviles de lujo.

 

Durante la investigación, el equipo de analistas de Akamai configuró su propia versión modificada de la botnet, para emplearla como un entorno de pruebas controlado con el objetivo de monitorizar los comandos que KmsdBot recibía de su servidor C2.

 

Fue mediante dichas pruebas que los investigadores determinaron que la botnet dejaba de enviar comandos de ataque después de que observaba un “único comando malformado”.

 

Una vez que los investigadores reconstruyeron el comando y lo lanzaron su propia versión de KmsdBot, todo parecía indicar que a falta de espacio entre la URL y el número de puerto, el binario se bloqueaba.

 

Dicho argumento arrojaba un error de “índice fuera de rango” debido al número incorrecto de elementos suministrados.

 

De acuerdo con el análisis, el comando bloquearía todo el código de la botnet que se estaba ejecutando en los ordenadores infectados. 

 

Comando:

“!bigdata www.bitcoin.com443 / 30 3 3 100”

 

De algún modo, esta amenaza puede mitigarse con su equivalente de codificación gracias a un error tipográfico de sus operadores.

 

Akamai describe el error como algo nada frecuente en el ámbito de la seguridad, que es un claro ejemplo de la naturaleza voluble de la tecnología.

 

Aún así, se le insta a todos los administradores a mantener las mejores prácticas de ciberseguridad.

 

Recomendaciones: 

Medidas para prevenir la descarga de malware

Mantenga todos sus dispositivos actualizados y parcheados

Active la autenticación de dos factores

No descargue archivos sospechosos

No abra enlaces que provengan de fuentes desconocidas

Ejecute soluciones anti-malware

 

Referencias: 

https://www.theregister.com/2022/12/06/botnet_kmsdbot_typo_code/

https://www.akamai.com/blog/security-research/kmsdbot-part-two-crashing-a-botnet

 

 

Folio 366