Caos desatado: el malware Condi toma el control de los enrutadores Wi-Fi de TP-Link para ataques devastadores de botnet DDoS

Un malware recientemente descubierto, Condi, ha surgido como una amenaza importante, aprovechando una vulnerabilidad de seguridad en los enrutadores Wi-Fi TP-Link Archer AX21 (AX1800). Su objetivo principal es aprovechar estos dispositivos comprometidos, ensamblarlos en una poderosa red de bots de denegación de servicio distribuido (DDoS). Los investigadores han notado un fuerte aumento en la intensidad de la campaña desde la conclusión de mayo de 2023.

¿Quién está detrás de Condi?

El cerebro detrás de Condi es un individuo conocido por el apodo en línea zxcr9999 , que promueve activamente sus actividades ilícitas a través del canal Condi Network de Telegram. A partir de mayo de 2022, el actor de amenazas monetizó su botnet ofreciendo DDoS como servicio e incluso vendiendo el código fuente del malware. Los investigadores de seguridad han analizado minuciosamente el malware y han descubierto su capacidad para eliminar botnets de la competencia en el mismo host. Sin embargo, Condi carece de un mecanismo de persistencia, por lo que no puede sobrevivir a un reinicio del sistema.

Para superar la limitación de la persistencia después de reiniciar el sistema, Condi actúa eliminando varios archivos binarios responsables de apagar o reiniciar el sistema. Estos binarios incluyen /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ detener y /usr/bin/halt. Vale la pena señalar que la red de bots Mirai explotó previamente la vulnerabilidad objetivo.

A diferencia de otros programas maliciosos generalizados, Condi utiliza un módulo de escaneo para identificar los enrutadores TP-Link Archer AX21 vulnerables a CVE-2023-1389 (puntaje CVSS: 8.8). En lugar de emplear ataques de fuerza bruta como algunas botnets, Condi ejecuta un script de shell obtenido de un servidor remoto para depositar el malware en los dispositivos identificados.

Según los analistas de seguridad, han surgido varias instancias de Condi, que explotan varias vulnerabilidades de seguridad conocidas para propagarse. Eso indica que los dispositivos que ejecutan software sin parches son particularmente susceptibles de ser atacados por este malware de botnet. Además de sus agresivas tácticas de monetización, el objetivo principal de Condi es comprometer los dispositivos y establecer una red de bots DDoS formidable. Esta botnet se puede alquilar a otros actores de amenazas, lo que les permite lanzar ataques de inundación TCP y UDP en sitios web y servicios específicos.

Neutralizar las botnets es fundamental para mantener un ecosistema digital seguro y estable. Los botnets, como el malware Condi, pueden aprovechar las vulnerabilidades del software sin parches y aprovechar una red de dispositivos comprometidos para actividades dañinas, como los ataques DDoS. Estos ataques interrumpen los servicios en línea y amenazan significativamente la integridad y disponibilidad de la infraestructura crítica. Las personas, las organizaciones y los profesionales de la seguridad deben permanecer atentos, mantener el software actualizado y emplear medidas de seguridad sólidas para detectar y mitigar las amenazas de botnets. Al neutralizar activamente las botnets, podemos salvaguardar nuestros entornos digitales y contribuir a un entorno en línea más seguro para todos los usuarios.