Una nueva variante de Mirai -el malware botnet utilizado para lanzar ataques DDoS masivos- se ha dirigido a dispositivos IoT conectados a servidores Linux, según investigadores del equipo de ciberseguridad Unit 42 de Palo Alto Network. 13 vulnerabilidades.
Una vez que los dispositivos vulnerables se ven comprometidos por la variante conocida como V3G4, pueden ser controlados totalmente por el atacante y pasar a formar parte de una botnet que puede utilizarse para realizar otras actividades, incluidos ataques DDoS.
"La complejidad de ataque de estas vulnerabilidades es menor que la de las variantes observadas anteriormente, pero siguen teniendo graves implicaciones para la seguridad que podrían conducir a la ejecución remota de código", afirma Unit 42 en su informe sobre las nuevas variantes.
[Avance en su carrera con las mejores certificaciones de seguridad: Qué hacen, cuánto cuestan y qué necesitas. | Suscríbase al boletín de noticias de CSO. ]
La Unidad 42 declaró que se observó actividad V3G4 en tres eventos entre julio y diciembre del año pasado.
Lenovo Lnit2 E3-automation Película Completa Conform-3 Hq Mp4 1280x720p
25 minutos y 0 segundos, 14 segundos de volumen de negociación 0%
Según los investigadores, las tres campañas parecen estar vinculadas a la misma variante y a la red de bots Mirai por múltiples razones. Observaron que los dominios con infraestructura de mando y control (C2) codificados utilizados para mantener las comunicaciones con los dispositivos infectados contienen el mismo formato de cadena. Además, los scripts de shell se descargan de forma similar y todos los ataques utilizan la misma funcionalidad de botnet.
Code 42 afirma que los actores de la amenaza que desplegaron V3G4 explotaron vulnerabilidades que podían conducir a la ejecución remota de código. Una vez ejecutado, el malware tiene una función para comprobar si el dispositivo host ha sido infectado. Si ya está infectado, sale del dispositivo. También intenta desactivar un conjunto de procesos de una lista codificada que incluye otras familias de malware de botnets competidoras.
Cómo funciona la variante Mirai V2G4
Los investigadores observaron que, mientras que la mayoría de las variantes de Mirai utilizan la misma clave para el cifrado de cadenas, la variante V3G4 utiliza diferentes claves de cifrado XOR para distintos escenarios (XOR es una operación lógica booleana utilizada a menudo en cifrado). V3G4 empaqueta un conjunto de credenciales de inicio de sesión por defecto o débiles para realizar ataques de fuerza bruta a través de los protocolos de red Telnet y SSH y propagarse a otras máquinas. La Unidad 42 afirma que, tras esto, establece contacto con el servidor C2 y espera a recibir órdenes para lanzar un ataque DDoS contra el objetivo.
V3G4 ha explotado vulnerabilidades, incluso en la herramienta de gestión FreePBX del servidor de comunicaciones Asterisk (vulnerabilidad CVE-2012-4869); Atlassian Confluence (CVE-2022-26134); Webmin System Management Tool (CVE-2019-15107); DrayTek Vigor Router (CVE-2020-8515: y CVE-2020-15415); y C-Data Web Management System (CVE-2022-4257).
Para obtener una lista completa de las vulnerabilidades explotadas observadas hasta la fecha, recomendaciones sobre software de ciberseguridad que puede detectar y prevenir infecciones, y fragmentos de código utilizados como indicadores de compromiso, consulte el aviso de Palo Alto. El equipo de la Unidad 42 también recomienda aplicar parches y actualizaciones para corregir las vulnerabilidades siempre que sea posible.
Cómo se desarrolló la red de bots Mirai
En los últimos años, Mirai ha intentado ampliar su alcance a SD-WAN, dirigiéndose a los sistemas de videoconferencia de las empresas y utilizando Original Linux para infectar múltiples plataformas.
La red de bots Mirai es una iteración de una serie de paquetes de malware desarrollados por Paras Jha, estudiante de la Universidad de Rutgers. Jha lo publicó en Internet bajo el nombre de "Anna-Senpai" y lo llamó Mirai (futuro en japonés). La botnet contiene algunas técnicas ingeniosas, como una serie de contraseñas codificadas.
En diciembre de 2016, Jha y sus socios se declararon culpables de delitos relacionados con los ataques Mirai. Pero para entonces, el código ya estaba en circulación y se utilizaba como base para otros controladores de redes de bots.
Esto significa que cualquiera puede utilizarlo para intentar infectar dispositivos IoT y lanzar ataques DDoS, o vender la capacidad al mejor postor. Muchos ciberdelincuentes ya lo están haciendo, o están retocando y mejorando su código para hacerlo más difícil de atacar.
La primera oleada de ataques Mirai apareció el 19 de septiembre de 2016, dirigida contra el host francés OVH. Mirai también fue responsable de un ataque DDoS en 2016 contra el proveedor de DNS Dyn, en el que participaron aproximadamente 100.000 dispositivos infectados. Como resultado, las principales plataformas y servicios de Internet no están disponibles para los usuarios de Europa y Norteamérica.