Un actor de amenazas destruyó irremediablemente su propia botnet con nada más que un error tipográfico.
La empresa de ciberseguridad Akamai detectó el error en KmsdBot, una red de bots de criptominería que también había distribuido denegación de servicio (DDoS (se abre en una pestaña nueva)), antes de fallar recientemente y reportar un error de «índice fuera de rango».
Los investigadores de Akamai estaban monitoreando la red de bots mientras se producía un ataque a un sitio web centrado en criptografía. En ese mismo momento, el actor de amenazas «olvidó» poner un espacio entre una dirección IP y un puerto en un comando, y envió el comando a todas las instancias de trabajo de KmsdBot. Eso resultó en que la mayoría de ellos fallaran y, dada la naturaleza de la red de bots, permanecieran inactivos.
Sin botnet de persistencia
La red de bots está escrita en Golang y no tiene persistencia, por lo que la única forma de volver a ponerla en funcionamiento sería infectar todas las máquinas que componían la red de bots nuevamente.
Hablando a OscuridadLecturael principal ingeniero de respuesta de inteligencia de seguridad de Akamai, Larry Cashdollar, dijo que casi toda la actividad de KmsdBot rastreada por la empresa se detuvo, pero agregó que los actores de amenazas podrían intentar volver a infectar los puntos finales. (se abre en una pestaña nueva) otra vez. Informando sobre las noticias, Ars Technica agregó que la mejor manera de defenderse contra KmsdBot es usar la autenticación de clave pública para conexiones de shell seguras, o al menos para mejorar las credenciales de inicio de sesión.
Según Akamai, el objetivo predeterminado de la red de bots es una empresa que crea servidores privados en línea de Grand Theft Auto y, si bien es capaz de extraer criptomonedas para los atacantes, esta característica no se ejecutó durante la investigación. En cambio, era la actividad DDoS la que se estaba ejecutando. En otros casos, se dirigió a empresas de seguridad y marcas de automóviles de lujo.
La empresa detectó por primera vez la red de bots en noviembre de este año, cuando estaba atacando sistemas de fuerza bruta con credenciales SSH débiles.