Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Redes de bots Red de bots Ballista

Red de bots Ballista

Por Mezo en Redes de bots
Traducir a:
Español

Se ha identificado una nueva campaña de botnet denominada Ballista, dirigida específicamente a routers TP-Link Archer sin parchear. Investigadores de ciberseguridad han descubierto que la botnet aprovecha una vulnerabilidad de ejecución remota de código (RCE) (CVE-2023-1389) para propagarse por internet. Esta vulnerabilidad de alta gravedad afecta a los routers TP-Link Archer AX-21, lo que permite a los atacantes ejecutar comandos remotamente y tomar el control del dispositivo.

Una cronología de la explotación

La evidencia de explotación activa se remonta a abril de 2023, cuando actores de amenazas desconocidos utilizaron por primera vez la vulnerabilidad para distribuir malware de la botnet Mirai . Desde entonces, se ha aprovechado para propagar otras cepas de malware, como Condi y AndroxGh0st , lo que ha aumentado aún más su alcance e impacto.

Cómo funciona el ataque

La secuencia de ataque comienza con un dropper de malware (un script de shell llamado "dropbpb.sh") que descarga y ejecuta un binario malicioso en los routers objetivo. El malware está diseñado para ejecutarse en múltiples arquitecturas de sistema, como MIPS, mipsel, armv5l, armv7l y x86_64. Una vez instalado, establece un canal cifrado de Comando y Control (C2) en el puerto 82, lo que permite a los atacantes controlar remotamente el dispositivo infectado.

Capacidades de la botnet Ballista

Una vez dentro de un sistema, Ballista permite a los atacantes ejecutar una variedad de comandos, incluidos:

  • Flooder : lanza un ataque de denegación de servicio (DoS) basado en inundaciones.
  • Exploiter : explota CVE-2023-1389 para infectar enrutadores adicionales.
  • Inicio – Inicia el módulo explotador.
  • Cerrar : detiene el módulo de explotación.
  • Shell : ejecuta comandos de shell de Linux en el sistema infectado.
  • Killall : finaliza el servicio de malware en ejecución.

Además, el malware puede borrar rastros de su propia presencia y propagarse de forma autónoma buscando y explotando dispositivos vulnerables.

Señales de una conexión italiana

Un análisis de la infraestructura de Ballista revela una conexión con Italia. Los binarios del malware contienen cadenas en italiano, y el servidor C2 inicial estaba alojado en 2.237.57.70, una dirección IP italiana. Sin embargo, el malware parece estar en continuo desarrollo, ya que las nuevas versiones utilizan dominios de red TOR en lugar de direcciones IP codificadas.

Impacto global: miles de enrutadores en riesgo

Una búsqueda específica sugiere que más de 6000 dispositivos ya se han visto afectados por Ballista. Las regiones más vulnerables incluyen Brasil, Polonia, Reino Unido, Bulgaria y Turquía. Dada su activa evolución, esta botnet sigue representando una amenaza significativa para los routers sin parches en todo el mundo.

Tendencias

PayPal: correo electrónico fraudulento que agregó...

Suplantación de identidad (phishing), Correo basura
El mundo digital está lleno de estrategias engañosas diseñadas para manipular a los usuarios para que revelen información confidencial o instalen software no seguro. Los cibercriminales con frecuencia se hacen pasar por empresas conocidas, como PayPal, para que sus estafas parezcan creíbles. Una de esas campañas fraudulentas, conocida como la estafa "PayPal - You Added A New Address", engaña a...

Mas Visto

Cargando...