News

Level 3: la población de Mirai se duplica después de la publicación de su código fuente

Los bots del malware Mirai continúan reclutando dispositivos IoT en sus filas con una agilidad que alcanzó alturas récords después de la publicación de su código fuente.

Los investigadores de la compañía Level 3 Communications identificaron la infraestructura de comando de Mirai usada para explotar vulnerabilidades IoT y conectar los nuevos bots. Según la compañía de telecomunicaciones, en dos semanas el número de cámaras de videovigilancia, grabadoras de vídeo y dispositivos de red domésticos, infectados por Mirai, aumentó en más de dos veces, de 213 000 a 493 000. “De hecho, el número de estos bots puede ser mayor, ya que la infraestructura detectada no proporciona una imagen completa”, advierten los expertos.

La mayoría de los aparatos afectados están en los EE.UU., pero Brasil y Colombia también ocupan altos puestos en la lista de infecciones. Aún más alarmante es el aumento del número de delincuentes que tratan de aprovechar las oportunidades que ofrece un enorme ejército de dispositivos conectados a Internet. Así, según Level 3, el 24% de los hosts de la botnet Mirai también se utiliza en ataques Gafgyt, también conocido como BASHLITE. “Un solapamiento tan grande sugiere que muchas familias de malware atacan al mismo grupo de dispositivos IoT vulnerables”, afirman los investigadores.

Los investigadores consideran que la publicación del código fuente jugó un gran papel en el aumento de las infecciones causadas por Mirai, aunque este mismo factor ha permitido a los investigadores estudiar el comportamiento del bot malicioso. Los resultados del análisis confirmaron que el propósito principal de Mirai es hacer barridos constantes de Internet en busca de dispositivos conectados y llevar a cabo ataques de fuerza bruta para conseguir el acceso a aquellos que estén protegidos por contraseñas débiles o predeterminadas. Una vez hackeado, el dispositivo vulnerable se une a una gran botnet usada para llevar a cabo ataques DDoS.

“A pesar de que [la filtración del código fuente] facilitó la tarea de los investigadores de seguridad informática, permitiéndoles entender cómo funciona la red de bots, también favoreció a los elementos criminales” confirmó el jefe de investigación de seguridad informática de Level 3, Drew Dale. “Ahora ellos también tienen a su disposición el código básico del bot, que pueden modificar fácilmente para usarlo sin demora, como lo hemos constatado”.

Los investigadores han identificado una serie de recursos maliciosos en el dominio TLD .cx (Isla de Navidad), asociado con el botnet Mirai. Estos nombres de dominio tienen el prefijo network o report, dependiendo del papel que el nodo desempeña en la red de bots. La lista de dominios maliciosos encontrados durante el estudio está publicada en el blog de level 3.

“Tratamos de informar a las víctimas de la botnet y ayudarles,” dijo Drew en respuesta a una pregunta de Threatpost sobre el estado actual de los recursos maliciosos. “También enviamos solicitudes a los dueños de los servidores capturados para labores de administración para que los desactiven y les informamos que los filtraremos por direcciones IP si no toman medidas”.

El portavoz de Nivel 3 también destacó la alta rotación de los centros de administración activos de la botnet, que se reemplazan aproximadamente cada dos días. “Los delincuentes cambian los servidores de administración para que a los investigadores no les sea fácil entender la conexión entre los bots y los servidores de administración”, explica el experto a Threadpost.

Cerca del 18 de septiembre Level 3 también tuvo la oportunidad de observar ataques DDoS muy potentes contra la infraestructura de administración de Mirai iniciada por el grupo Gafgyt/BASHLITE. “No sabemos si fue el deseo de eliminar un competidor, desactivando su operación con Mirai, o un intento de capturar los nodos afectados por Mirai”, dijo Drew al comentar esta acción durante la entrevista.

Fuentes: Threatpost

Level 3: la población de Mirai se duplica después de la publicación de su código fuente

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada