SophosLabs ha detectado una nueva botnet DDoS que se centra en servidores SSH mal protegidos. El objetivo del malware es comprometer el gran número de servidores SSH Linux de administración remota, que en estos días incluye un número creciente de dispositivos de Internet de las Cosas (IoT).

SophosLabs ha detectado una nueva botnet DDoS que se centra en servidores SSH mal protegidos. Llamada Chalubo (o ChaCha-Lua-bot) en referencia al uso del cifrador de flujo ChaCha, el malware comenzó a circular en agosto antes de que se viera un pico en su actividad a comienzos de septiembre.

El objetivo del malware es comprometer el gran número de servidores SSH Linux de administración remota, que en estos días incluye un número creciente de dispositivos de Internet de las Cosas (IoT).

Lo hace escaneando gran cantidad de direcciones IP, buscando dispositivos que ejecuten SSH en el puerto 22, intentando obtener las credenciales por fuerza bruta utilizando las habituales por defecto o probando contraseñas débiles.En el caso de Chalubo, el objetivo último es descargar y ejecutar malware diseñado para ejecutar ataques DDoS usando flujos DNS, UDP y SYN.

En el ejemplo analizado por SophosLabs, la temática IoT parece clara, como Timothy Easton de SophosLabs señala: »Como algunos de sus predecesores, Chalubo incorpora código de las familias de malware Xor.DDoS y Mirai».

¿De dónde viene?

SophosLabs detectó que el servidor de comando y control (C&C) del atacante extraía un segundo malware, Linux/DDoS-BD (Linux/BillGates), que ha tenido conexión con la botnet china Elknot, que fue vista por primera vez en 2014.

Sin embargo Chalubo tiene una temática aún mayor que es el propio SSH, que se supone que es una manera segura de gestionar remotamente casi todo lo que ejecute Linux.

Desafortunadamente, SSH no está siempre bien asegurado, lo que lo convierte como poco un objetivo atractivo, dado que SSH puede ser usado no solo para autenticarse si no también para la transferencia de ficheros.

¿Qué hacer?

Una manera de detectar Linux/Chalubo-A es buscar tráfico saliente hacía el C&C en el puerto 8852, aunque este no se usa siempre. También es posible detectar su presencia comprobando los logs de accesos fallidos o prestando atención a qué servidores han tenido un uso masivo de ancho de banda.

La prevención es incluso mejor asegurando SSH. Como en todos los ataques de fuerza bruta, Chaluvo florece con credenciales débiles, probando gran cantidad de ejemplos conocidos o posibles combinaciones.

Hay muchas maneras de minimizar un ataque de fuerza bruta SSH pero obviamente escoger una contraseña robusta es el primer paso. Incluso mejor, deja de usar contraseñas y emplea una llave de autenticación SSH, la cual tiene la ventaja de que puede ser usada en diferentes servidores.