Botnet de Ttint

La Ttint Botnet es una botnet IoT (Internet de las cosas) que ha estado activa durante más de un año. Según el análisis de los especialistas, los delincuentes explotaron dos vulnerabilidades de día cero para infiltrarse en los enrutadores Tenda e instalar malware. Si bien la mayoría de las botnets de IoT se utilizan principalmente para lanzar un ataque DDoS, la Ttint Botnet muestra una gama mucho más amplia de funciones disponibles, incluida la ejecución de comandos de acceso remoto y la manipulación de la configuración de DNS del enrutador.

Dos versiones de Ttint detectadas hasta ahora

Cuando se detectó por primera vez la botnet Ttint, se basó en abusar de una vulnerabilidad de día cero de Tendra que se rastrea como CVE-2018-14558 y CVE-2020-10987. Los piratas informáticos podrían aprovechar esta vulnerabilidad para difundir su malware durante más de seis meses. Sin embargo, en julio de 2020, se publicó un informe que detalla la vulnerabilidad de día cero y la hace de conocimiento público. Aunque Tendra aún no ha publicado una actualización que solucione el problema, los piratas informáticos cambiaron sus tácticas rápidamente y lanzaron una nueva versión de su herramienta amenazante en solo un par de semanas. Funcionalmente, esta segunda iteración permaneció sin cambios virtualmente, pero había cambiado para explotar una vulnerabilidad de día cero diferente, una que hasta ahora no ha sido revelada ni parcheada.

Las personas que usan enrutadores Tendra deben estar atentas y verificar el firmware en sus dispositivos. Según los investigadores, es probable que las versiones de firmware que van desde AC9 a AC18 sean atacadas y se conviertan en víctimas de la Ttint Botnet. Los dispositivos más afectados se encuentran en Brasil, seguidos de Estados Unidos, Sudáfrica e India.

Ttint es un Mirai modificado

En esencia, Ttint Botnet es un troyano de acceso remoto dirigido a dispositivos enrutadores que es una versión muy ampliada y modificada del malware Mirai Botnet IoT. Mirai Botnet se ha mantenido como una opción popular entre los ciberdelincuentes desde que su código fuente se filtró en línea en 2016. Esto ha permitido a los piratas informáticos con diversos grados de habilidad lanzar variantes en la naturaleza. Mirar la Ttint Botnet revela que por sí mismos, sus diferentes componentes y funciones no son nada nuevo, en particular, pero el hecho de que los piratas informáticos responsables hayan logrado combinar diferentes aspectos de malware de IoT o Linux en una entidad singular hace que la amenaza sea bastante única.

Para empezar, la Ttint Botnet ha conservado 10 instrucciones de ataque DDoS de Mirai Botnet, pero ha sido equipada con 12 nuevos comandos responsables de su comportamiento de acceso remoto. Otra desviación significativa de Mirai Botnet es la forma en que Ttint Botnet maneja su comunicación de Comando y Control (C2). Aparentemente, la Ttint Botnet se ha configurado para emplear un protocolo WebSocket.