Las escisiones de la botnet Mirai desatan una ola global de ataques DDoS

Por Mura en Seguridad informática

Traducir a:

Dos botnets derivados de Mirai han lanzado agresivas campañas de denegación de servicio distribuidas (DDoS) en todo el mundo, dirigidas a vulnerabilidades en dispositivos de Internet de las cosas (IoT) y explotando credenciales débiles. Las campañas ponen de relieve la amenaza persistente que plantea el malware basado en Mirai, que sigue siendo una poderosa ciberarma casi una década después de su tristemente célebre debut.

Tabla de contenido

La evolución de Mirai: una amenaza persistente para la seguridad del IoT

La botnet Mirai ha sido durante mucho tiempo un símbolo de las vulnerabilidades inherentes a los dispositivos IoT. Desde que se filtró su código fuente en 2016, Mirai ha inspirado innumerables variantes, cada una de las cuales se basa en las devastadoras capacidades del malware original. Recientemente han surgido dos campañas distintas que aprovechan el malware derivado de Mirai para comprometer dispositivos IoT y lanzar ataques DDoS globales.

Campaña 1: La botnet Murdoc

Una de las campañas activas, denominada Murdoc Botnet, distribuye malware Mirai para explotar vulnerabilidades específicas en dispositivos IoT como cámaras Avtech y enrutadores Huawei HG532. Según los investigadores de Qualys, la botnet utiliza exploits conocidos, entre los que se incluyen:

CVE-2024-7029 : Una vulnerabilidad de omisión de autenticación en las cámaras Avtech, que permite a los atacantes inyectar comandos de forma remota.
CVE-2017-17215 : Una falla de ejecución remota de código (RCE) en los enrutadores Huawei.

La botnet Murdoc comenzó a operar en julio de 2024 y desde entonces ha comprometido más de 1300 direcciones IP, principalmente en Malasia, Tailandia, México e Indonesia. Los investigadores descubrieron más de 100 conjuntos de servidores distintos vinculados a la botnet, cada uno de ellos encargado de gestionar dispositivos infectados y coordinar ataques posteriores.

El malware se infiltra en los dispositivos a través de archivos ELF y scripts de shell, que luego se utilizan para instalar variantes del malware Mirai. Estos dispositivos infectados se utilizan como armas para participar en ataques DDoS expansivos, creando una formidable red de botnets global.

Campaña 2: Malware híbrido dirigido a organizaciones globales

Una segunda campaña, que aprovecha malware derivado tanto de Mirai como de Bashlite, ha tenido como blanco organizaciones de Norteamérica, Europa y Asia. Los investigadores de Trend Micro identificaron ataques DDoS a gran escala que inicialmente afectaron a corporaciones y bancos japoneses antes de propagarse a nivel mundial.

Vectores de ataque y dispositivos objetivo

Los atacantes se centraron en explotar fallos de seguridad y credenciales débiles en dispositivos IoT ampliamente utilizados, como:

Enrutadores TP-Link
Enrutadores Zyxel
Cámaras IP Hikvision

El malware aprovechó vulnerabilidades de ejecución remota de código y contraseñas débiles para obtener acceso y luego descargó scripts para comprometer los dispositivos. Esta operación global empleó dos tipos principales de ataques DDoS:

Ataques de sobrecarga de red : inundar las redes con paquetes masivos de datos para saturar el ancho de banda.
Ataques de agotamiento de recursos : creación de numerosas sesiones para agotar los recursos del servidor.

En algunos casos, los atacantes combinaron ambos métodos para maximizar el daño, causando interrupciones significativas en las regiones afectadas.

Medidas defensivas: mitigación del impacto de las botnets Mirai

El resurgimiento de las campañas basadas en Mirai pone de relieve la necesidad de que las organizaciones refuercen sus defensas contra los ataques DDoS. Los investigadores de Qualys y Trend Micro han proporcionado recomendaciones fundamentales para combatir estas amenazas.

Mejores prácticas generales

Supervisar actividades sospechosas : realice un seguimiento periódico de procesos, eventos y tráfico de red para detectar señales de compromiso.
Evite fuentes no confiables : absténgase de ejecutar scripts de shell o binarios de orígenes desconocidos.
Fortalezca los dispositivos IoT : asegúrese de que los dispositivos estén actualizados con el firmware más reciente y tengan contraseñas seguras y únicas.

Mitigación de ataques de sobrecarga de la red

Utilice firewalls o enrutadores para bloquear direcciones IP maliciosas y restringir el tráfico no deseado.
Colaborar con los proveedores de servicios de Internet para filtrar el tráfico DDoS en el borde de la red.
Actualice el hardware del enrutador para manejar mayores volúmenes de paquetes.

Mitigación de ataques por agotamiento de recursos

Implemente la limitación de velocidad para restringir la cantidad de solicitudes desde direcciones IP específicas.
Utilice servicios de protección DDoS de terceros para filtrar el tráfico malicioso.
Monitorea continuamente las conexiones en tiempo real y bloquea las IP con actividad excesiva.

El persistente legado de Mirai

Estas últimas campañas de la botnet Mirai sirven como un duro recordatorio de los riesgos que plantean los dispositivos IoT desprotegidos. A medida que los atacantes siguen perfeccionando sus tácticas y aprovechando las vulnerabilidades de IoT, las organizaciones deben permanecer alertas, proactivas y preparadas para mitigar los riesgos de los ataques DDoS. Al adoptar medidas de seguridad sólidas y fomentar la colaboración entre las partes interesadas en la ciberseguridad, podemos reducir el impacto de estas amenazas persistentes.

SpyHunter para Windows de EnigmaSoft ha obtenido la certificación AV-TEST

Buscar

Cambia región