¿Tienes un Raspberry Pi? Un malware podría estar utilizándolo para minar Bitcoin
El Raspberry Pi es el mini-ordenador más conocido y utilizado en todo el mundo. Para poder exprimir al máximo este dispositivo es necesario tenerlo conectado constantemente a Internet de manera que pueda funcionar como una especie de servidor personal, sin embargo, igual que el resto de dispositivos IoT, una mala configuración puede ponerlo en peligro y hacerlo caer en manos de piratas informáticos, tal como hace la nueva amenaza descubierta para este mini-ordenador.
La empresa de seguridad rusa «Dr. Web» acaba de descubrir un nuevo malware para Linux llamado «Linux.MulDrop.14«. Según esta empresa de seguridad, este software malicioso fue detectado por primera vez en la segunda mitad de mayo de este mismo año oculto en un script que descargaba un fichero comprimido y cifrado, dificultando su detección, estudio e identificación, hasta ahora.
Tal como explican los responsables de esta empresa de seguridad, este malware tiene un objetivo concreto: el Raspberry Pi. Linux.MulDrop.14 funciona de forma similar a cualquier otro gusano, como Mirai, y es que este malware utiliza los dispositivos ya infectados para buscar en la red cualquier otro Raspberry Pi mal configurado que tenga habilitado el puerto SSH sin cambiar los credenciales por defecto (pi/raspberry) y se conecta a él de forma remota para dar lugar a la infección. Os recomendamos visitar nuestro tutorial para hacer túnel SSH con WinSCP.
Este malware, anda más llegar al dispositivo víctima, finaliza varios procesos esenciales del sistema operativo que utiliza y, además, instala una serie de librerías para su propio uso como ZMap (para buscar nuevas víctimas a través de Internet) y sshpass, además de su propio software de minado de Bitcoin, entre otras.
Una vez que este malware se instala en los dispositivos, lo primero que hace es cambiar la contraseña del usuario «pi» por una más compleja (que os dejamos a continuación, en caso de necesitarla) para evitar que el dueño del dispositivo pueda volver a conectarse a él. Hecho todo esto, el malware arranca su software de minado y empieza ya a trabajar en minar esta criptomoneda.
Cómo protegernos del malware Linux.MulDrop.14 que infecta a los Raspberry Pi
Como hemos dicho, este malware busca las víctimas a través de Internet y se conecta a ellas por el protocolo SSH utilizando los credenciales por defecto: usuario «pi» y contraseña «raspberry». Por ello, la mejor y más sencilla forma de protegernos de este malware es directamente cambiando la contraseña por defecto de manera que el malware no pueda conectarse a nuestro dispositivo.
En caso de haber sido infectados por este malware, la contraseña de acceso SSH para poder conectarnos de nuevo a nuestro dispositivo y poder, por ejemplo, desinfectarlo es:
$6$U1Nu9qCp$FhPuo8s5PsQlH6lwUdTwFcAUPNzmr0pWCdNJj.p6l4Mzi8S867YLmc7BspmEH95POvxPQ3PzP029yT1L3yi6K1
De todas formas, los expertos de seguridad están seguros de que este malware aún se encuentra en fase «beta», y que en breve podría incluir una mayor variedad de usuarios y contraseñas (basados en diccionarios, e incluso por fuerza bruta).
Una amenaza mucho más rentable que Mirai
Según varios estudios, la botnet Mirai tiene cerca de 2.5 millones de bots controlados por los piratas informáticos, sin embargo, debido a la limitada potencia de los mismos (cámaras de seguridad, DVR, routers y otros dispositivos IoT), si esta botnet se dedicara (como intentó) a minar Bitcoin, con los 2.5 millones de dispositivos trabajando a la vez solo conseguiría 0.25 dólares al día.
El Raspberry Pi es un dispositivo infinitamente más potente que una cámara de seguridad, por lo que, de conseguir controlar tantos dispositivos, los ingresos de Linux.MulDrop.14 serían muy superiores a los de Mirai. De todas formas, es difícil que lo consiga.
¿Qué opinas sobre este malware? ¿Crees que los responsables del Raspberry Pi deberían obligar a los usuarios a cambiar la contraseña por defecto?