Red de bots Gorilla

Los investigadores de ciberseguridad han identificado una nueva familia de malware de botnet conocida como Gorilla (o GorillaBot), que se basa en el código fuente revelado de la botnet Mirai .

Según los expertos que monitorean esta actividad, la botnet Gorilla ejecutó más de 300.000 comandos de ataque en un período notablemente corto, con una tasa de ataque asombrosa en septiembre de 2024. En promedio, la botnet lanzó alrededor de 20.000 comandos diariamente, específicamente destinados a facilitar ataques distribuidos de denegación de servicio (DDoS).

Más de 100 países fueron blanco de ataques DDoS

Se informa que la botnet ha atacado a más de 100 países, lanzando ataques contra universidades, sitios web gubernamentales, telecomunicaciones, bancos, así como también contra las industrias del juego y las apuestas. Entre los países más afectados se incluyen China, Estados Unidos, Canadá y Alemania.

Los expertos indican que Gorilla emplea principalmente métodos como UDP flood, ACK BYPASS flood, Valve Source Engine (VSE), SYN flood y ACK flood para llevar a cabo sus ataques DDoS. La naturaleza sin conexión del protocolo UDP permite la suplantación de IP de origen arbitrario, lo que genera un volumen significativo de tráfico.

Además de su soporte para múltiples arquitecturas de CPU, incluidas ARM, MIPS, x86_64 y x86, la botnet está equipada con la capacidad de conectarse a uno de cinco servidores de Comando y Control (C2) predefinidos para recibir comandos DDoS.

Explotación de vulnerabilidades y mecanismos de persistencia

En un avance notable, el malware incorpora funciones para explotar una vulnerabilidad de seguridad en Apache Hadoop YARN RPC, lo que le permite lograr la ejecución remota de código. Esta falla en particular ha sido explotada en la red desde al menos 2021.

Para garantizar la persistencia en el host, el malware crea un archivo de servicio llamado custom.service en el directorio /etc/systemd/system/, que está configurado para ejecutarse automáticamente al iniciar el sistema. Este servicio se encarga de descargar y ejecutar un script de shell llamado lol.sh desde un servidor remoto (pen.gorillafirewall.su). Además, se insertan comandos similares en los archivos /etc/inittab, /etc/profile y /boot/bootcmd para facilitar la descarga y ejecución del script de shell al iniciar el sistema o al iniciar sesión el usuario.

El malware introduce una variedad de métodos de ataque DDoS y emplea algoritmos de cifrado que el grupo Keksec suele utilizar para ocultar información crítica. También utiliza múltiples técnicas para mantener el control a largo plazo sobre los dispositivos IoT y los servidores en la nube, lo que refleja un conocimiento sofisticado de las medidas de contradetección típicas de las familias de botnets emergentes.

Algunos investigadores de seguridad sugieren que el malware Gorilla Botnet no es completamente nuevo y que ha estado activo durante más de un año.