Getty Images Un gusano USB ahora abandonado que bloquea dispositivos conectados ha seguido autorreplicándose durante años desde que sus creadores perdieron el control y permanece activo en miles, posiblemente millones, de máquinas, dijeron investigadores el jueves. El gusano, que salió a la luz por primera vez en una publicación de 2023 publicada por la empresa de seguridad Sophos, se activó en 2019 cuando una variante de malware conocida como PlugX agregó una funcionalidad que le permitía infectar unidades USB automáticamente. A su vez, esas unidades infectarían cualquier máquina nueva a la que se conectaran, una capacidad que permitía que el malware se propagara sin requerir ninguna interacción del usuario final. Los investigadores que han rastreado PlugX desde al menos 2008 han dicho que el malware tiene su origen en China y ha sido utilizado por varios grupos vinculados al Ministerio de Seguridad del Estado del país. Sigue activo después de todos estos años. Por razones que no están claras, el creador del gusano abandonó la única dirección IP designada como su canal de comando y control. Como ya nadie controlaba las máquinas infectadas, el gusano PlugX estaba efectivamente muerto, o al menos uno podría haberlo supuesto. Resulta que el gusano ha seguido viviendo en un número indeterminado de máquinas que posiblemente llegue a millones, informaron investigadores de la firma de seguridad Sekoia. Los investigadores compraron la dirección IP y conectaron su propia infraestructura de servidor al tráfico «sumidero» que se conectaba a ella, lo que significa interceptar el tráfico para evitar que se utilice de forma maliciosa. Desde entonces, su servidor continúa recibiendo tráfico PlugX de 90.000 a 100.000 direcciones IP únicas cada día. En el lapso de seis meses, los investigadores contaron solicitudes de casi 2,5 millones de IP únicas. Este tipo de solicitudes son estándar para prácticamente todas las formas de malware y normalmente ocurren en intervalos regulares que van desde minutos hasta días. Si bien la cantidad de IP afectadas no indica directamente la cantidad de máquinas infectadas, el volumen sugiere que el gusano permanece activo en miles, posiblemente millones, de dispositivos. «Inicialmente pensamos que tendríamos algunos miles de víctimas conectadas a él, como las que podemos tener en nuestros sumideros habituales», escribieron los investigadores de Sekoia Felix Aimé y Charles M. «Sin embargo, al configurar un servidor web simple, vimos un flujo continuo de solicitudes HTTP que variaban según la hora del día». Continuaron diciendo que otras variantes del gusano permanecen activas a través de al menos otros tres canales de comando y control conocidos en los círculos de seguridad. Sin embargo, hay indicios de que uno de ellos también podría haberse hundido. Como muestra la imagen a continuación, las máquinas que informan al sumidero tienen una distribución geográfica amplia: Ampliar / Un mapa mundial que muestra las direcciones IP de los países que informan al sumidero. Sekoia Una muestra del tráfico entrante durante un solo día pareció mostrar que Nigeria albergaba la mayor concentración de máquinas infectadas, seguidas por India, Indonesia y el Reino Unido. Ampliar / Gráfico que muestra los países con las IP más afectadas. Sekoia Los investigadores escribieron: Según esos datos, es notable que alrededor de 15 países representan más del 80% del total de infecciones. También es intrigante observar que los principales países infectados no comparten muchas similitudes, un patrón observado con gusanos USB anteriores como RETADUP, que tiene las tasas de infección más altas en los países de ortografía española. Esto sugiere la posibilidad de que este gusano se haya originado en múltiples pacientes cero en diferentes países. Una explicación es que la mayoría de las mayores concentraciones se encuentran en países con costas donde el gobierno de China tiene importantes inversiones en infraestructura. Además, muchos de los países más afectados tienen importancia estratégica para los objetivos militares chinos. Los investigadores especularon que el propósito de la campaña era recopilar información de inteligencia que el gobierno chino podría utilizar para lograr esos objetivos. Los investigadores observaron que el gusano zombie sigue siendo susceptible de ser tomado por cualquier actor de amenaza que obtenga el control de la dirección IP o logre insertarse en la ruta entre el servidor en esa dirección y un dispositivo infectado. Esa amenaza plantea dilemas interesantes para los gobiernos de los países afectados. Podrían optar por preservar el status quo sin tomar ninguna medida, o podrían activar un comando de autoeliminación integrado en el gusano que desinfectaría las máquinas infectadas. Además, si eligen la última opción, podrían optar por desinfectar sólo la máquina infectada o agregar una nueva funcionalidad para desinfectar cualquier unidad USB infectada que esté conectada. Debido a la forma en que el gusano infecta las unidades, al desinfectarlas se corre el riesgo de borrar los datos legítimos almacenados en ellas. Por otro lado, permitir que los discos sigan infectados hace posible que el gusano comience de nuevo su proliferación. Para complicar aún más el proceso de toma de decisiones, los investigadores observaron que incluso si alguien emite comandos que desinfectan cualquier unidad infectada que esté conectada, es inevitable que el gusano viva en las unidades que no están conectadas cuando se envía un comando de desinfección remota. emitido. “Dados los posibles desafíos legales que podrían surgir al llevar a cabo una campaña de desinfección generalizada, que implica enviar un comando arbitrario a estaciones de trabajo que no son de nuestra propiedad, hemos resuelto aplazar la decisión sobre si desinfectar las estaciones de trabajo en sus respectivos países a la discreción de las autoridades nacionales. Equipos de respuesta a emergencias informáticas (CERT), agencias de aplicación de la ley (LEA) y autoridades de ciberseguridad”, escribieron los investigadores. “Una vez en posesión de la lista de desinfección, podemos brindarles un acceso para iniciar la desinfección por un período de tres meses. Durante este tiempo, cualquier solicitud de PlugX de un sistema autónomo marcado para desinfección será respondida con un comando de eliminación o una carga útil de eliminación”.