Red de bots CatDDoS
Los investigadores que analizan las principales botnets DDoS más activas han informado de un aumento en las operaciones de ataque de las ciberbandas relacionadas con CatDDoS. Durante su investigación, los expertos lograron confirmar que los ciberdelincuentes aprovecharon más de 80 vulnerabilidades para comprometer dispositivos específicos en tan solo tres meses. Además, se ha observado que el número máximo de objetivos supera los 300+ por día. El objetivo de los atacantes es infiltrarse en los dispositivos vulnerables y secuestrarlos para que formen parte de una botnet para llevar a cabo ataques distribuidos de denegación de servicio (DDoS).
Tabla de contenido
Los ciberdelincuentes abusan de numerosas vulnerabilidades para lanzar la botnet CatDDoS
Estas vulnerabilidades afectan a una amplia gama de dispositivos, incluidos enrutadores, equipos de red y otro hardware suministrado por varios proveedores como Apache (ActiveMQ, Hadoop, Log4j y RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE, Zyxel y otros. Los investigadores han señalado que ciertas vulnerabilidades permanecen sin identificar, posiblemente siendo vulnerabilidades de día 0 en condiciones específicas.
CatDDoS se basa en la infame botnet Mirai
CatDDoS es en sí mismo una variante de Mirai desde sus inicios. Su nombre deriva de la inclusión de "gato" y "miau" en los primeros nombres de dominio y muestras, lo que indica una afinidad hacia los temas felinos por parte de su creador. Las versiones recientes de CatDDoS, que aparecieron inicialmente en agosto de 2023, muestran alteraciones mínimas en los métodos de comunicación en comparación con sus versiones anteriores.
Hay especulaciones entre los investigadores de que CatDDoS podría haber sido cerrado a finales del año pasado. Sin embargo, el código fuente de la amenaza fue vendido por sus creadores o filtrado de forma independiente. En consecuencia, han surgido como resultado nuevas iteraciones como RebirthLTD, Komaru, Cecilio Network, entre otras.
Varios grupos de ciberdelincuentes han creado sus propias variantes de botnet CatDDoS
Si bien varios grupos pueden supervisar diferentes iteraciones de CatDDoS Botnet, existe una divergencia mínima en la estructura del código, protocolos de comunicación, patrones de cadenas, metodologías de descifrado y otros aspectos. En consecuencia, los investigadores han consolidado estas variantes en un grupo unificado conocido como bandas relacionadas con CatDDoS.
Entre las variantes activas más recientes se encuentran v-2.0.4 (CatDDoS) y v-Rebirth (RebirthLTD), ambas emplean cifrado chacha20 para la transmisión de datos, con claves y nonces idénticos. La discrepancia radica en la utilización del dominio OpenNIC por parte de v-2.0.4 como su nombre de dominio de comando y control (C2). Si bien RebirthLTD inicialmente utilizó el código original de Mirai, luego hizo la transición al código base de CatDDoS y está experimentando actualizaciones frecuentes.
En esencia, las muestras relacionadas con CatDDoS han sufrido modificaciones mínimas en comparación con versiones anteriores. Se han implementado algunos ajustes menores para mejorar la complejidad de la ingeniería inversa. Por tanto, el consenso es que, si bien existen cambios, son relativamente limitados.
Un conjunto diverso de objetivos observados en las operaciones de ataque de la botnet CatDDoS
En octubre de 2023, la mayoría de los objetivos afectados por el malware se encontraban en China, seguida de EE. UU., Japón, Singapur, Francia, Canadá, Reino Unido, Bulgaria, Alemania, Países Bajos e India.
Desde entonces, los investigadores han observado un cambio de enfoque hacia países como Estados Unidos, Francia, Alemania, Brasil y China. Los objetivos abarcan diversas industrias, incluidos proveedores de servicios en la nube, educación, investigación científica, transmisión de información, administración pública y construcción.
En particular, además de emplear el algoritmo ChaCha20 para cifrar las comunicaciones con el servidor C2, el malware utiliza un dominio OpenNIC para C2, una táctica utilizada anteriormente por otra botnet DDoS basada en Mirai conocida como Fodcha. Curiosamente, CatDDoS comparte el mismo par clave/nonce para el algoritmo ChaCha20 con otras tres botnets DDoS llamadas hailBot, VapeBot y Woodman.
