Una nueva variante de Mirai, el malware de botnet utilizado para lanzar ataques DDoS masivos, apunta a 13 vulnerabilidades en dispositivos IoT conectados a servidores Linux, según investigadores del equipo de ciberseguridad de la Unidad 42 de Palo Alto Network.
Una vez comprometidos por la variante denominada V3G4, los atacantes pueden controlar completamente los dispositivos vulnerables y convertirse en parte de una botnet que puede usarse para futuras campañas, incluidos los ataques DDoS.
“Las vulnerabilidades tienen una menor complejidad de ataque que las variantes observadas anteriormente, pero conservan un impacto de seguridad crítico que puede conducir a la ejecución remota de código”, dijo Unit 42 en su informe sobre la nueva variante.
Se observó actividad V3G4 en tres campañas entre julio y diciembre del año pasado, dijo la Unidad 42.
Según los investigadores, las tres campañas parecían estar vinculadas a la misma variante y al botnet Mirai por múltiples razones. Descubrieron que los dominios con la infraestructura de comando y control (C2) codificada de forma rígida, utilizada para mantener la comunicación con los dispositivos infectados, contenían el mismo formato de cadenas. Además, las descargas de scripts de shell son similares y la botnet utilizada en todos los ataques tiene una funcionalidad idéntica.
El actor de amenazas que implementó V3G4 explotó vulnerabilidades que podrían conducir a la ejecución remota de código, dijo Code 42. Una vez ejecutado, el malware tiene una función para verificar si el dispositivo host ya ha sido infectado. Si ya ha sido infectado, sale del dispositivo. También intenta deshabilitar una serie de procesos de una lista codificada que contiene otras familias de malware de botnet de la competencia.
Así funciona la variante V2G4 Mirai
Si bien la mayoría de las variantes de Mirai usan la misma clave de cifrado de cadena, la variante V3G4 usa diferentes claves de cifrado XOR para diferentes escenarios, señaló el investigador (XOR es una operación de lógica booleana comúnmente utilizada en el cifrado). V3G4 incluye un conjunto de credenciales estándar o débiles que utiliza para realizar ataques de fuerza bruta sobre los protocolos de red Telnet y SSH y propagarlos a otras computadoras. Después de eso, se pone en contacto con el servidor C2 y espera los comandos para lanzar ataques DDoS contra los objetivos, dijo la Unidad 42.
V3G4 explotó vulnerabilidades, incluidas las de la herramienta de administración FreePBX para servidores de comunicación Asterisk (vulnerabilidad CVE-2012-4869); Confluencia de Atlassian (CVE-2022-26134); la herramienta de administración del sistema Webmin (CVE-2019-15107); Enrutador DrayTek Vigor (CVE-2020-8515: y CVE-2020-15415); y el Sistema de Gestión Web C-Data (CVE-2022-4257).
Para obtener una lista completa de las vulnerabilidades explotadas observadas hasta la fecha, sugerencias de software de ciberseguridad que pueden detectar y prevenir infecciones y fragmentos de código que sirven como indicadores de compromiso, consulte el aviso de Palo Alto. El equipo de Unit 42 también recomienda aplicar parches y actualizaciones siempre que sea posible para abordar las vulnerabilidades.
Cómo evolucionó la botnet Mirai
En los últimos años, Mirai ha intentado envolver sus tentáculos alrededor de SD-WAN y sistemas de videoconferencia empresariales específicos, aprovechando Aboriginal Linux para infectar múltiples plataformas.
La botnet Mirai fue una iteración de una serie de paquetes de malware desarrollados por Paras Jha, estudiante de la Universidad de Rutgers. Jha lo puso en línea bajo el nombre de «Anna-senpai» y lo llamó Mirai («el futuro» en japonés). La botnet encapsuló algunas técnicas inteligentes, incluida una lista de contraseñas codificadas.
En diciembre de 2016, Jha y sus asociados se declararon culpables de delitos relacionados con los ataques de Mirai. Pero para entonces, el código estaba en la naturaleza y se usaba como bloques de construcción para más controladores de botnets.
Esto significaba que cualquiera podía usarlo para intentar infectar dispositivos IoT y lanzar ataques DDoS, o vender esa capacidad al mejor postor. Muchos ciberdelincuentes han hecho exactamente eso, o están ajustando y mejorando el código para que sea aún más difícil de combatir.
La primera gran ola de ataques de Mirai se produjo el 19 de septiembre de 2016 y se utilizó contra los anfitriones franceses OVH. Mirai también fue responsable de un ataque DDoS en 2016 contra el proveedor de DNS Dyn, que involucró a unos 100 000 dispositivos infectados. Como resultado, las principales plataformas y servicios de Internet no estaban disponibles para los usuarios de Europa y América del Norte.
Derechos de autor © 2023 IDG Communications, Inc.