Investigadores han anunciado el hallazgo de una nueva botnet soportada por dispositivos inteligentes (IoT) que tiene la capacidad de reclutar dispositivos en cualquier parte del mundo para comercializar servicios de DDoS, sin embargo, está focalizada principalmente en países asiáticos.

Una característica importante, es que únicamente se propaga a través de ataques de fuerza bruta dirigidos al protocolo Telnet, utilizando un diccionario que cuenta con las credenciales más utilizadas y populares como: “root/1234”, “default/default”, “admin/1234”, entre otras.

Las primeras versiones de botnets aprovechaban exploits de vulnerabilidades conocidas de ejecución de código remoto para Netgear DN1000, JAWS WebServer, DVRs y diversos dispositivos (CVE-2019-7256); pese a eso, los han dejado de integrar en las nuevas versiones.

Respecto a su autoría, los investigadores de Bitdefender, quienes denominaron así a esta red, creen que pudo haber sido creada por el griego “Helios”, conocido autor de botnets, quien las comercializa para ataques de DDoS similares indicando, además, que han encontrado evidencias que ofrece sus servicios desde 20 euros mensuales por 40 minutos, hasta 90 euros mensuales por acceso ilimitado.

Es de nuestro conocimiento que las botnets pueden limitar el acceso a determinados servicios relevantes como Twitter, Netflix o Spotify, como lo ha hecho Mirai anteriormente.

En relación con otras botnets, los investigadores informaron que el módulo core de Dark Nexus es original y se modifica constantemente; cuenta con más de 30 actualizaciones desde diciembre de 2019.

En sus últimas versiones (4.0 – 5.3) ha implementado capacidades de “reverse proxy”, permitiendo que sus víctimas actúen como un proxy para el servidor host y, a su vez, descargando los ejecutables necesarios de forma local para evitar constantes conexiones hacia el host central.

Está claro que para la mitigación de esta botnet es indispensable hacer cambios en las contraseñas por default, así como mantener actualizado el firmware en nuestros dispositivos. También es importante identificar y no exponer a nuestros dispositivos cuando no requieran estar conectados directamente a internet.

Referencias:
https://www.csoonline.com/article/3536600/new-iot-botnet-dark-nexus-targets-wide-variety-of-devices.html
https://securityaffairs.co/wordpress/101264/malware/dark-nexus-iot-botnet.html
https://www.redeszone.net/noticias/seguridad/dark-nexus-botnet-bitdefender/
https://thehackernews.com/2020/04/darknexus-iot-ddos-botnet.html