La botnet Chalubo, que incorpora malware como Xor.DDoS y Mirai, se descubrió por primera vez a principios de septiembre. Los investigadores de seguridad utilizaron un servidor honeypot que fue diseñado para parecer vulnerable a los ataques distribuidos de denegación de servicio (DDoS) y otras amenazas para capturar información sobre la red de bots. Los componentes de Chalubo incluyen un descargador, un script de comandos de Lua y el bot principal, que se optimizó para el hardware que ejecuta los procesadores Intel x86.
Al igual que el malware de Windows, los autores han adoptado técnicas de análisis, como el uso del cifrado de flujo ChaCha para encriptar tanto el script Lua como el bot principal. Durante las últimas semanas, los creadores de Chalubo también recurrieron al descargador de Elknot para lanzar toda la familia de malware, y los investigadores observaron que los robots ahora pueden ejecutarse en una variedad de otras arquitecturas de unidades de procesamiento central (CPU), lo que podría sugerir que botnet se hará más dominante en un futuro próximo.
Chalubo roba tácticas de amenaza de otros programas maliciosos
Los sistemas basados en Linux han sido atacados por los ciberdelincuentes anteriormente, pero los investigadores dijeron que el uso de la corriente ChaCha, así como su enfoque más sofisticado para liberar bots de una capa a la vez, es inusual.
En otros aspectos, los actores de la amenaza detrás de los ataques de denegación de servicio pueden estar intentando robar las mejores prácticas de sus predecesores. Los investigadores observaron que ciertas funciones que permiten a la familia Xor.DDoS lograr persistencia se copiaron en el código de Chalubo, por ejemplo. Del mismo modo, el código de Mirai había sido copiado al bot principal Chalubo.
Cómo fortalecer los entornos de TI contra ataques distribuidos de denegación de servicio
Los ataques de denegación de servicio pueden paralizar el rendimiento del sitio web y hacer que otras áreas de TI de la empresa se detengan, por lo que si se encontró Chalubo a través de un honeypot, es probable que sus creadores también apunten a objetivos reales.
Para fortalecer sus entornos de TI contra los ataques DDoS, los expertos de IBM sugieren adoptar un enfoque por capas para hacer cumplir las políticas de seguridad con los cortafuegos de próxima generación . Esta estrategia permite a los equipos de seguridad identificar la actividad DDoS en una red, aplicación o sesión en particular. A medida que las amenazas contra los sistemas basados en Linux se vuelven más complejas, los directores de seguridad de la información (CISO) deben pensar en cómo pueden llegar a ser más detallados en la forma en que definen y personalizan las reglas de seguridad basadas en los patrones de tráfico de red que surgen.
Finalmente, las organizaciones deben mantener las aplicaciones y los sistemas operativos funcionando al nivel de parche más actualizado, asegurarse de que el software antivirus y los archivos asociados estén actualizados, y monitorear el entorno para los indicadores de compromiso (IoC) listados en IBM X-Force Aviso de amenaza de cambio.
Fuente: Securityintelligence.com