HinataBot

Se ha visto que una botnet basada en Golang recientemente descubierta, denominada HinataBot, explota vulnerabilidades conocidas para violar enrutadores y servidores y usarlos para ataques de denegación de servicio distribuido (DDoS). El nombre de la amenaza se basa en un personaje de la popular serie de anime Naruto con muchas estructuras de nombre de archivo que tienen el formato 'Hinata--'. Los investigadores de ciberseguridad de Akamai dieron a conocer detalles sobre la amenaza.

Se cree que los perpetradores detrás de HinataBot han estado activos desde diciembre de 2022, al menos. En ese entonces, estaban tratando de utilizar una variante común de Mirai basada en Go antes de cambiar a sus propias amenazas de malware personalizadas a partir del 11 de enero de 2023. Se cree que HinataBot todavía está en desarrollo activo.

Los ciberdelincuentes confían en las vulnerabilidades conocidas para violar los dispositivos e implementar HinataBot

El malware HinataBot se distribuye a través de múltiples métodos, incluida la explotación de servidores Hadoop YARN expuestos. Los atacantes también abusan de las vulnerabilidades en los dispositivos Realtek SDK (CVE-2014-8361) y los enrutadores Huawei HG532 (CVE-2017-17215, puntaje CVSS: 8.8) como una forma de establecer un punto de apoyo en los sistemas objetivo.

Las vulnerabilidades sin parches y las credenciales débiles han sido un blanco fácil para los atacantes debido a sus bajos requisitos de seguridad en comparación con tácticas más sofisticadas como la ingeniería social. Estos puntos de entrada proporcionan una vía de ataque bien documentada que puede explotarse fácilmente.

HinataBot puede ser capaz de lanzar devastadores ataques DDoS de 3,3 Tbps

El HinataBot es capaz de establecer contacto con un servidor de comando y control (C2, C&C) como una forma de recibir instrucciones de los actores de amenazas. Se puede indicar al malware que lance ataques DDoS contra direcciones IP específicas durante un período de tiempo elegido.

Las versiones anteriores de HinataBot usaban varios protocolos diferentes, como HTTP, UDP, TCP e ICMP, para los ataques DDoS; sin embargo, esta última iteración de la amenaza ha retenido solo dos: los protocolos HTTP y UDP. La razón por la que se abandonaron los otros protocolos aún se desconoce en este momento.

Los investigadores advierten que HinataBot se puede utilizar para lanzar ataques DDoS masivos. Por ejemplo, con 10 000 bots participando en un ataque simultáneamente, una inundación UDP podría generar un tráfico máximo de hasta 3,3 Tbps (Terabit por segundo), mientras que una inundación HTTP produciría alrededor de 27 Gbps en volumen de tráfico.