Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Redes de bots Red de bots AIRASHI

Red de bots AIRASHI

Por Mezo en Redes de bots, Software malicioso
Traducir a:
Español

Una vulnerabilidad de día cero en los enrutadores cnPilot de Cambium Networks se ha convertido en la última herramienta para que los cibercriminales implementen una variante de la botnet AISURU conocida como AIRASHI. Esta campaña, activa desde junio de 2024, explota la falla para orquestar poderosos ataques de denegación de servicio distribuido (DDoS). Los investigadores de seguridad han retenido detalles sobre la vulnerabilidad para limitar su uso indebido mientras continúan las investigaciones.

Una historia de vulnerabilidades explotadas

La botnet AIRASHI no se limita a un único vector de ataque. Utiliza una serie de vulnerabilidades, entre ellas CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 y otras fallas encontradas en cámaras IP AVTECH, DVR LILIN y dispositivos Shenzhen TVT. Al explotar este amplio espectro de debilidades, AIRASHI continúa aumentando su alcance y sofisticación.

Capacidades de los ataques DDoS: una mirada más cercana

Los operadores detrás de AIRASHI no son tímidos con respecto a sus actividades y publican los resultados de las pruebas de las capacidades DDoS de su botnet en Telegram. Los datos históricos revelan que su capacidad de ataque se estabiliza en torno a 1-3 Tbps. Geográficamente, la mayoría de los dispositivos comprometidos se encuentran en Brasil, Rusia, Vietnam e Indonesia. Sin embargo, los objetivos se concentran en regiones como China, Estados Unidos, Polonia y Rusia, donde las operaciones dañinas de la botnet han causado la mayor perturbación.

La evolución de AISURU a AIRASHI

AIRASHI proviene de la botnet AISURU, que se identificó previamente en agosto de 2024 durante un ataque DDoS de alto perfil en Steam, que coincidió con el lanzamiento del juego Black Myth: Wukong. Después de detener temporalmente sus operaciones en septiembre de 2024, la botnet resurgió con características actualizadas con el nombre en código "kitty" y se renovó aún más como AIRASHI en noviembre.

Una botnet de doble propósito: AIRASHI-DDoS y AIRASHI-Proxy

AIRASHI opera en dos formas distintas:

  • AIRASHI-DDoS : detectada a fines de octubre de 2024, esta variante se centra en ataques DDoS pero amplía sus capacidades para incluir la ejecución de comandos arbitrarios y el acceso al shell inverso.
  • AIRASHI-Proxy : presentada en diciembre de 2024, esta variación agrega funcionalidad de proxy, lo que indica una diversificación de servicios más allá de las operaciones DDoS.

Avances en la comunicación y el cifrado

Para garantizar operaciones seguras y eficientes, AIRASHI emplea un nuevo protocolo de red que aprovecha los algoritmos de cifrado HMAC-SHA256 y CHACHA20. Mientras que AIRASHI-DDoS admite 13 tipos de mensajes distintos, AIRASHI-Proxy utiliza un enfoque más simplificado con cinco. Además, la botnet ajusta dinámicamente sus métodos para recuperar los detalles del servidor de Comando y Control (C2) a través de consultas DNS.

Botnets y dispositivos IoT: una amenaza cibernética persistente

Los hallazgos resaltan la explotación persistente por parte de los cibercriminales de las vulnerabilidades de los dispositivos IoT. Los dispositivos IoT sirven como punto de entrada para los actores maliciosos y como base para construir redes de bots robustas. Al aprovechar estos dispositivos comprometidos, los actores de amenazas amplifican el poder de los ataques DDoS, lo que muestra la necesidad crítica de mejorar la seguridad de los dispositivos en el ecosistema IoT.

Tendencias

Mas Visto

Cargando...