Hajime, que en japonés quiere decir “empezando” y que es la orden con la que se empiezan los combates en muchas artes marciales, fue detectado por primera vez en octubre de 2016.
- Kaspersky Lab ha hecho públicos los resultados de su investigación sobre la actividad de Hajime, un misterioso malware de Internet de las Cosas (IoT) que es capaz de construir una gran red botnet peer-to-peer
- Hasta el momento, la red está formada por casi 300.000 dispositivos infectados en todo el mundo, preparados para actuar simultáneamente
- Parece que los autores del malware están dirigiéndose contra algunos dispositivos determinados, en concreto grabadores digitales de vídeo, cámaras web y enrutadores
Hajime, que en japonés quiere decir “empezando” y que es la orden con la que se empiezan los combates en muchas artes marciales, fue detectado por primera vez en octubre de 2016. Desde entonces, ha ido evolucionando y desarrollando nuevas técnicas de propagación. El malware está construyendo una gran red botnet peer-to-peer, un grupo descentralizado de máquinas comprometidas que, de forma discreta, lanza ataques de spam o de denegación de servicio (DDoS). Kaspersky Lab ha hecho públicos los resultados de su investigación sobre la actividad de este misterioso malware de Internet de las Cosas (IoT) en permanente transformación que es capaz de construir una gran red botnet peer-to-peer
En Hajime no vamos a encontrar un código o funcionalidades de ataque, sólo un módulo de propagación. Hajime, una familia de malware avanzado y también cauteloso, utiliza técnicas muy variadas, principalmente ataques directos contra las contraseñas de los dispositivos, para infectarlos, dando a continuación un número de pasos para ocultarse de la víctima comprometida. Entonces, el dispositivo se integra en la red de botnet.
Hajime no ataca a un tipo específico de dispositivos, sino que se dirige contra cualquiera que esté conectado a internet. Sin embargo, parece que los autores del malware están dirigiéndose contra algunos dispositivos determinados, en concreto grabadores digitales de vídeo, cámaras web y enrutadores.
Según los analistas de Kaspersky Lab, Hajime evita algunas redes en concreto, incluidas las de General Electric, Hewlett-Packard, el servicio postal de los EE.UU., el departamento de defensa de los EE.UU. así como determinadas redes privadas.
En el momento de realización del estudio, la mayoría de las infecciones provenían de dispositivos ubicados sobre todo en Vietnam (por encima del 20%), Taiwan (casi el 13%) y Brasil (cerca del 9%).
Distribución de los infectadores de Hajime
Distribución de los dispositivos infectados
En su conjunto y durante el periodo analizado en el informe, Kaspersky Lab calculó que al menos 297.499 dispositivos compartían la configuración Hajime.
“Lo más intrigante de Hajime es su objetivo. Mientras que la botnet va creciendo y haciéndose más y más grande, seguimos sin saber para qué se creó. No hemos visto trazos suyos en ningún otro tipo de ataques o de actividad maliciosa adicional. Sin embargo, queremos alertar a los propietarios de dispositivos IoT de la necesidad de cambiar sus contraseñas por unas fuertes, que dificulten los ataques directos, y que actualicen el firmware si es posible”, comenta Konstantin Zykov, Senior analista de seguridad senior, Kaspersky Lab.
Para más información sobre el botnet Hajime: https://securelist.com/blog/research/78160/hajime-the-mysterious-evolving-botnet/
