El Malware DDoS fue detectado los primeros días de este mes por el El CERT, o equipo de respuesta ante emergencias informáticas, de Polonia, descubriendo que afecta a sistemas Windows y Linux por igual.
La versión Linux del mismo se está desplegando para lanzar ataques contra el servicio SSH (Secure Shell) y así adivinar contraseñas que utilicen palabras del diccionario. Explican en CIO.com que esto significa que sólo los sistemas que permitan el acceso SSH remoto desde Internet y tengan cuentas con contraseñas débiles son los que están en riesgo de verse comprometidos por los hackers para la distribución del malware.
Una vez que se ha instalado, el Malware DDoS envía información sobre el sistema operativo al servidor de comando y control y espera instrucciones. El CERT de Polonia explica en un post que según sus investigaciones hay cuatro tipos de ataque posibles, todos DDoS. Mientras se ejecuta el ataque el malware envía información al servidor sobre las tareas que se están ejecutando, la velocidad de la CPU, carga del sistema y velocidad de conexión de la red.
Existe además una variante del malware para sistemas Windows que, a diferencia de la versión para Linux se conecta a los servidores de comando y control utilizando un nombre de dominio –y no una dirección IP, y se comunica en un puerto diferente. Por otro lado, el mismo servidor de comando y control se ha utilizado tanto para las variantes de Linux como para las de Windows, lo que ha llevado al grupo de investigadores polacos a determinar que han sido creados por el mismo grupo.
Destacar al mismo tiempo que ya que el malware ha sido diseñado casi en exclusiva para lanzar ataques DDoS significa que los ciberdelincuentes que están detrás e estas creaciones lo que están buscando es comprometer ordenadores con un significativo ancho de banda, como los servidores, “y esa es precisamente la razón de la que hay una versión para Linux”.
