Level 3: la población de Mirai se duplica después de la publicación de su código fuente

Los bots del malware Mirai continúan reclutando dispositivos IoT en sus filas con una agilidad que alcanzó alturas récords después de la publicación de su código fuente.

Los investigadores de la compañía Level 3 Communications identificaron la infraestructura de comando de Mirai usada para explotar vulnerabilidades IoT y conectar los nuevos bots. Según la compañía de telecomunicaciones, en dos semanas el número de cámaras de videovigilancia, grabadoras de vídeo y dispositivos de red domésticos, infectados por Mirai, aumentó en más de dos veces, de 213 000 a 493 000. “De hecho, el número de estos bots puede ser mayor, ya que la infraestructura detectada no proporciona una imagen completa”, advierten los expertos.

La mayoría de los aparatos afectados están en los EE.UU., pero Brasil y Colombia también ocupan altos puestos en la lista de infecciones. Aún más alarmante es el aumento del número de delincuentes que tratan de aprovechar las oportunidades que ofrece un enorme ejército de dispositivos conectados a Internet. Así, según Level 3, el 24% de los hosts de la botnet Mirai también se utiliza en ataques Gafgyt, también conocido como BASHLITE. “Un solapamiento tan grande sugiere que muchas familias de malware atacan al mismo grupo de dispositivos IoT vulnerables”, afirman los investigadores.

Los investigadores consideran que la publicación del código fuente jugó un gran papel en el aumento de las infecciones causadas por Mirai, aunque este mismo factor ha permitido a los investigadores estudiar el comportamiento del bot malicioso. Los resultados del análisis confirmaron que el propósito principal de Mirai es hacer barridos constantes de Internet en busca de dispositivos conectados y llevar a cabo ataques de fuerza bruta para conseguir el acceso a aquellos que estén protegidos por contraseñas débiles o predeterminadas. Una vez hackeado, el dispositivo vulnerable se une a una gran botnet usada para llevar a cabo ataques DDoS.

“A pesar de que [la filtración del código fuente] facilitó la tarea de los investigadores de seguridad informática, permitiéndoles entender cómo funciona la red de bots, también favoreció a los elementos criminales” confirmó el jefe de investigación de seguridad informática de Level 3, Drew Dale. “Ahora ellos también tienen a su disposición el código básico del bot, que pueden modificar fácilmente para usarlo sin demora, como lo hemos constatado”.

Los investigadores han identificado una serie de recursos maliciosos en el dominio TLD .cx (Isla de Navidad), asociado con el botnet Mirai. Estos nombres de dominio tienen el prefijo network o report, dependiendo del papel que el nodo desempeña en la red de bots. La lista de dominios maliciosos encontrados durante el estudio está publicada en el blog de level 3.

“Tratamos de informar a las víctimas de la botnet y ayudarles,” dijo Drew en respuesta a una pregunta de Threatpost sobre el estado actual de los recursos maliciosos. “También enviamos solicitudes a los dueños de los servidores capturados para labores de administración para que los desactiven y les informamos que los filtraremos por direcciones IP si no toman medidas”.

El portavoz de Nivel 3 también destacó la alta rotación de los centros de administración activos de la botnet, que se reemplazan aproximadamente cada dos días. “Los delincuentes cambian los servidores de administración para que a los investigadores no les sea fácil entender la conexión entre los bots y los servidores de administración”, explica el experto a Threadpost.

Cerca del 18 de septiembre Level 3 también tuvo la oportunidad de observar ataques DDoS muy potentes contra la infraestructura de administración de Mirai iniciada por el grupo Gafgyt/BASHLITE. “No sabemos si fue el deseo de eliminar un competidor, desactivando su operación con Mirai, o un intento de capturar los nodos afectados por Mirai”, dijo Drew al comentar esta acción durante la entrevista.

Fuentes: Threatpost