Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Doctor Web presenta un informe de amenazas en Linux para Internet de las cosas

17 de octubre de 2016

Muchos dispositivos domésticos funcionan bajo la administración de Linux: consolas de televisión, almacenes de red, rotuers, camaras de video vigilancia, muchos de los cuales se usan con la configuración predeterminada y, por lo tanto, son fáciles de hackear. La empresa Doctor Web recopiló las estadísticas de amenazas en Linux más populares hoy día que, así mismo, son de amenaza para Internet de las cosas. Esta investigación confirma que los ciberdelincuentes con mayor frecuencia instalan los troyanos en dispositivos comprometidos para realizar los ataques DDoS.

La tarea actual de los ciberdelincuentes que difunden troyanos para Internet de las cosas, es la creación de botnets para realizar los ataques DDoS, pero algunos troyanos se utilizan para usar el dispositivo infectado como servidor proxy. Desde mediados de septiembre de 2016, los expertos de Doctor Web registraron 11 636 ataques a varios dispositivos en Linux, de los cuales 9 582 se realizaron por protocolo SSH y 2054 — por protocolo Telnet. Con mayor frecuencia, los malintencionados cargaban más de 15 tipos de programas nocivos en los dispositivos hackeados, la mayoría de los cuales son de las familias Linux.DownLoader, Linux.DDoS y Linux.BackDoor.Fgt. La relación proporcional de estos troyanos puede consultarse en el diagrama más abajo.

Programas nocivos más difundidos para Linux #drweb

El programa nocivo más difundido, según estas estadísticas, es el troyano Linux.Downloader.37, destinado para realizar los ataques DDoS. Entre las amenazas para Linux también hay representantes de las familias Linux.Mrblack, Linux.BackDoor.Gates, Linux.Mirai, Linux.Nyadrop, Perl.Flood y Perl.DDoS – usando los mismos, los malintencionados también pueden realizar los ataques de rechazo de servicio. Con mayor frecuencia, en los dispositivos en Linux atacados fueron detectadas varias modificaciones de Linux.BackDoor.Fgt. Hay versiones de este troyano para arquitecturas MIPS, SPARC, m68k, SuperH, PowerPC y otras. Linux.BackDoor.Fgt también sirve para organizar los ataques DDoS.

Todos estos programas nocivos, los ciberdelincuentes los cargan a los dispositivos, al adivinar el nombre de usuario y la contraseña de los mismos y al conectarse por protocolos Telnet o SSH. Así, por ejemplo, usando Telnet, los malintencionados con mayor frecuencia intentan conectarse al nodo atacado usando el nombre de usuario ‘root’, y usando SSH — ‘admin’:

Nombres de usuario más populares usados al conectarse por protocolo Telnet #drweb

Nombres de usuario más populares usados al conectarse por protocolo SSH #drweb

En la tabla más abajo pueden consultarse algunas combinaciones estándar de nombres de usuario y contraseñas usados por los malintencionados al hackear varios dispositivos en Linux. Los ciberdelincuentes usaban estas combinaciones para realizar ataques reales.

SSH
Nombre de usuarioContraseñaDispositivo/aplicación (supuestamente)
InformixInformixUna familia de sistemas de administración de las bases de datos relacionales (DBMS) Informix de la empresa IBM
PiRaspberryRaspberry Pi
RootNagiosxiNagios Server and Network Monitoring Software
nagiosNagiossoftware Nagios
cactiuserCactisoftware Cacti
rootSynopasssoftware Synology
adminArticonProxySG - Secure Web Gateway от Blue Coat Systems
Telnet
Rootxc3511Cámaras de video vigilancia
RootVizxvCámaras de video vigilancia de Dahua
RootAnkoCámaras de video vigilancia de Anko
Root5upRouters de TP-Link
RootXA1bac0MXCámaras de video vigilancia de CNB

El promedio del número de direcciones IP únicas desde las cuales los malintencionados atacan los dispositivos en Linux supervisados por la empresa Doctor Web es de:

Número de direcciones IP únicas usadas para ataques #drweb

El número de archivos nocivos únicos cargados por los ciberdelincuentes en dispositivos hackeados también cambia con el tiempo – hasta varias decenas:

Número de archivos nocivos únicos #drweb

Son muy interesantes las estadísticas de cargas del troyano Linux.Mirai en dispositivos vulnerables: en cuanto los códigos fuente de este programa nocivo aparecieron en acceso público, enseguida fue muy popular entre los malintencionados. Lo confirma el número creciente de las direcciones IP únicas desde las cuales se carga este troyano:

graph #drweb

En octubre, para instalar Linux.Mirai empezó a usarse el troyano de la familia Linux.Luabot. Así mismo, en la segunda mitad de septiembre, los analistas de Doctor Web registraban ataques con el troyano Linux.Nyadrop.1, sobre cuya detección informaron los autores del blog MalwareMustDie. A base de las combinaciones del nombre de usuario y la contraseña usados pata realizar los ataques se puede deducir que uno de los objetivos de los malintencionados eran los routers de la empresa TP-Link. El troyano Linux.Nyadrop.1 es de solo 621 bytes y sirve para instalar otros troyanos en el dispositivo comprometido.

Más abajo puede consultarse la distribución geográfica de direcciones IP desde las cuales se cargaba el software nocivo a los dispositivos en Linux vulnerables:

map #drweb

Los expertos de la empresa Doctor Web siguen vigilando la difusión de los programas nocivos para el SO Linux e informarán de forma oportuna a los usuarios sobre las tendencias actuales en este ámbito.

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2019

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А