Creíamos que este malware estaba “muerto”. En realidad seguía infectando miles de ordenadores sin control
Un grupo de ciberdelincuentes activó en 2020 una variante del conocido malware PlugX. La misma estaba diseñada para propagarse a otros ordenadores a través de unidades USB. Asimismo, era capaz de infectar redes internas y robar documentos de ellas.
En algún momento del año pasado, no obstante, los creadores de este gusano desaparecieron de escena. Por razones que se desconocen abandonaron el servidor de comando y control (C&C) que utilizaban para obtener el control de las máquinas infectadas.
Un gusano abandonado (y fuera de control)
Mientras la variante de PlugX había estado activa, los ciberdelincuentes habían conseguido montar una botnet de millones de ordenadores. Estamos hablando de un enorme conjunto de equipos que podían ser controlados por los atacantes de manera remota.
Ahora bien, al quitar de la ecuación al C&C ya no había nadie controlando el malware, por lo que había dejado de ser una amenaza. Lo cierto, es que solo una parte de este programa malicioso ya no era un problema del qué preocuparse, porque otra parte seguía muy activa.
Precisamente esto es lo que pudieron comprobar los investigadores de Sekoia, que tuvieron una idea muy interesante: tomar el control del C&C para evitar que alguien pudiera revivir la variante de PlugX y, sobre todo, para obtener datos adicionales de su funcionamiento.
El análisis de un host infectado permitió identificar a qué dirección IP se conectaba el malware, que era precisamente la dirección IP del servidor de comando y control. Dado que esa IP estaba disponible, Sekoia hizo un pequeño desembolso de dinero para administrarla.
Una vez completado este importantísimo paso, los investigadores descubrieron algo sorprendente: entre 90 y 100 mil direcciones IP únicas envían solicitudes diarias al antiguo C&C de la variante de PlugX. En tres meses se registraron 2,5 millones de solicitudes de IP únicas.
Como sabemos, es difícil identificar la cantidad de ordenadores infectados en base a esta información, pero podemos hacer una aproximación. Los expertos creen que el gusano sigue propagándose y está activo en posiblemente millones de dispositivos.
El gusano, por su esencia, ha seguido funcionando en “piloto automático” y, si bien la botnet está desmantelada, los investigadores advierten que cualquier persona con capacidades de interceptación podría enviar comandos arbitrarios a los hosts infectados para revivirlo.
Frente a este escenario, Sekoia descubrió que es posible utilizar el C&C para neutralizar completamente la amenaza tanto en los equipos comprometidos como en las unidades USB. Se trata de una posibilidad técnica que no ha sido puesta en práctica en la realidad.
Imágenes | Bing Image Creator
En Xataka | Ni 12345 ni admin: Reino Unido prohíbe que los dispositivos tengan contraseñas débiles por defecto