En breve: Investigadores de seguridad han descubierto una escalofriante epidemia global: un antiguo malware que se ha estado propagando sin control durante años. A pesar de que sus creadores aparentemente abandonaron el proyecto hace años, este insidioso gusano USB ha sobrevivido, infectando potencialmente millones de máquinas nuevas en todo el mundo.
El gusano, que apareció por primera vez en 2019 como una nueva variante del infame malware PlugX, tenía un astuto truco bajo la manga. Podría copiarse automáticamente a cualquier unidad USB conectada a una máquina infectada, lo que le permitiría viajar e infectar computadoras nuevas sin necesidad de interacción del usuario.
Pero en algún momento, los piratas informáticos abandonaron el servidor de comando y control del malware, esencialmente cortando su capacidad de supervisar las máquinas infectadas. Se podría suponer que este sería el final del camino para el molesto gusano, pero ese no fue el caso.
Investigadores de la empresa de seguridad. Sekoia Decidió hacer algo de arqueología digital y compró la dirección IP abandonada que se utilizó originalmente para controlar el gusano. Para su sorpresa, descubrieron que el gusano todavía estaba vivo y coleando, y su servidor recibía conexiones de 90.000 a 100.000 direcciones IP únicas todos los días. Durante seis meses, contaron la asombrosa cifra de 2,5 millones de IP únicas que intentaban llamar a casa.
Es importante tener en cuenta que las direcciones IP no siempre representan con precisión la cantidad total de sistemas infectados, ya que algunas IP pueden ser compartidas por varios dispositivos o las computadoras pueden usar IP dinámicas. Pero el gran volumen de tráfico sugiere que este gusano se ha extendido por todas partes, infectando potencialmente a millones de máquinas en todo el mundo.
Lo que es aún más intrigante es que los investigadores encontraron que alrededor de 15 países representan más del 80% de las infecciones. Y estas no son sólo naciones aleatorias: muchas tienen importancia estratégica e importantes inversiones chinas en infraestructura. Esto ha llevado a especular que el gusano pudo haber sido una operación de recopilación de inteligencia china dirigida a regiones específicas.
«Es plausible, aunque no definitivamente seguro, ya que China invierte en todas partes, que este gusano haya sido desarrollado para recopilar inteligencia en varios países sobre las preocupaciones estratégicas y de seguridad asociadas con la Iniciativa de la Franja y la Ruta, principalmente en sus aspectos marítimos y económicos», señala Sekoia. .
Afortunadamente, los investigadores descubrieron una posible solución: un comando que podría eliminar el malware de las máquinas infectadas e incluso limpiar cualquier unidad USB conectada durante el proceso de desinfección. Sin embargo, decidieron no tomar medidas unilaterales debido a preocupaciones legales y, en cambio, se pusieron en contacto con las autoridades pertinentes de los países afectados, proporcionándoles datos y dejando la decisión en sus manos.
«Dados los posibles desafíos legales que podrían surgir al llevar a cabo una campaña de desinfección generalizada, que implica enviar un comando arbitrario a estaciones de trabajo que no son de nuestra propiedad, hemos resuelto aplazar la decisión sobre si desinfectar las estaciones de trabajo en sus respectivos países a la discreción de las autoridades nacionales. Equipos de respuesta a emergencias informáticas (CERT), agencias de aplicación de la ley (LEA) y autoridades de ciberseguridad», escribieron los investigadores.