Cotització de descompte per a múltiples llicències
Seguretat informàtica Els spinoffs de Mirai Botnet desencadenen una onada...

Els spinoffs de Mirai Botnet desencadenen una onada global d'atacs DDoS

El Mura el Seguretat informàtica
Traduir a:
Català

Dues empreses derivades de la botnet de Mirai han llançat campanyes agressives de denegació de servei (DDoS) distribuïdes a tot el món, orientades a vulnerabilitats en dispositius d'Internet de les coses (IoT) i aprofitant credencials febles. Les campanyes subratllen l'amenaça duradora que suposa el programari maliciós basat en Mirai, que segueix sent una poderosa arma cibernètica gairebé una dècada després del seu infame debut.

L'evolució de Mirai: una amenaça persistent per a la seguretat d'IoT

La botnet Mirai ha estat durant molt de temps un símbol de les vulnerabilitats inherents als dispositius IoT. Des que el seu codi font es va filtrar el 2016, Mirai ha inspirat innombrables variants, cadascuna basant-se en les capacitats devastadores del programari maliciós original. Recentment han sorgit dues campanyes diferents que utilitzen programari maliciós derivat de Mirai per comprometre els dispositius IoT i llançar atacs DDoS globals.

Campanya 1: The Murdoc Botnet

Una de les campanyes actives, anomenada Murdoc Botnet, està lliurant programari maliciós Mirai per explotar vulnerabilitats específiques en dispositius IoT com ara càmeres Avtech i encaminadors Huawei HG532. Segons els investigadors de Qualys, la botnet utilitza explotacions conegudes, com ara:

  • CVE-2024-7029 : una vulnerabilitat de derivació d'autenticació a les càmeres Avtech, que permet als atacants injectar ordres de forma remota.
  • CVE-2017-17215 : un error d'execució de codi remot (RCE) als encaminadors Huawei.

La botnet Murdoc va començar a operar el juliol de 2024 i des de llavors ha compromès més de 1.300 IP, principalment a Malàisia, Tailàndia, Mèxic i Indonèsia. Els investigadors van descobrir més de 100 conjunts de servidors diferents vinculats a la botnet, cadascun encarregat de gestionar els dispositius infectats i coordinar més atacs.

El programari maliciós s'infiltra als dispositius mitjançant fitxers d'script ELF i shell, que després s'utilitzen per instal·lar variants de programari maliciós Mirai. Aquests dispositius infectats estan armats per participar en atacs DDoS expansius, creant una formidable xarxa de botnets global.

Campanya 2: programari maliciós híbrid dirigit a organitzacions globals

Una segona campanya, aprofitant programari maliciós derivat tant de Mirai com de Bashlite, s'ha dirigit a organitzacions d'Amèrica del Nord, Europa i Àsia. Els investigadors de Trend Micro van identificar atacs DDoS a gran escala que van afectar inicialment les corporacions i els bancs japonesos abans de propagar-se a nivell mundial.

Vectors d'atac i dispositius dirigits

Els atacants es van centrar a explotar defectes de seguretat i credencials febles en dispositius IoT àmpliament utilitzats, com ara:

  • Encaminadors TP-Link
  • Encaminadors Zyxel
  • Càmeres IP Hikvision

El programari maliciós va explotar vulnerabilitats d'execució de codi remota i contrasenyes febles per accedir-hi, i després va descarregar scripts per comprometre els dispositius. Aquesta operació global ha utilitzat dos tipus principals d'atacs DDoS:

  1. Atacs de sobrecàrrega de xarxa : inundació de xarxes amb paquets massius de dades per desbordar l'ample de banda.
  2. Atacs d'exhauriment de recursos : creació de nombroses sessions per esgotar els recursos del servidor.

En alguns casos, els atacants van combinar ambdós mètodes per maximitzar el dany, provocant interrupcions importants a les regions afectades.

Mesures defensives: mitigació de l'impacte de les botnets Mirai

El ressorgiment de les campanyes basades en Mirai posa de manifest la necessitat de les organitzacions de reforçar les seves defenses contra els atacs DDoS. Els investigadors de Qualys i Trend Micro han proporcionat recomanacions crítiques per combatre aquestes amenaces.

Bones pràctiques generals

  1. Superviseu activitats sospitoses : feu un seguiment regular de processos, esdeveniments i trànsit de xarxa per detectar signes de compromís.
  2. Eviteu fonts no fiables : absteniu-vos d'executar scripts d'intèrpret d'ordres o binaris d'origen desconegut.
  3. Endurir els dispositius IoT : assegureu-vos que els dispositius estiguin actualitzats amb l'últim firmware i tinguin contrasenyes úniques i fortes.

Mitigació dels atacs de sobrecàrrega de xarxa

  • Utilitzeu tallafocs o encaminadors per bloquejar adreces IP malicioses i restringir el trànsit no desitjat.
  • Col·labora amb els proveïdors de serveis d'Internet per filtrar el trànsit DDoS a la vora de la xarxa.
  • Actualitzeu el maquinari de l'encaminador per gestionar volums de paquets més elevats.

Mitigació dels atacs d'esgotament de recursos

  • Implementeu una limitació de velocitat per restringir el nombre de sol·licituds d'adreces IP específiques.
  • Utilitzeu serveis de protecció DDoS de tercers per filtrar el trànsit maliciós.
  • Superviseu contínuament les connexions en temps real i bloquegeu les IP amb activitat excessiva.

El llegat persistent de Mirai

Aquestes últimes campanyes de botnet de Mirai serveixen com a recordatori contundent dels riscos que suposen els dispositius IoT desprotegits. A mesura que els atacants continuen perfeccionant les seves tàctiques i aprofitant les vulnerabilitats d'IoT, les organitzacions han de romandre vigilants, proactives i preparades per mitigar els riscos dels atacs DDoS. Mitjançant l'adopció de mesures de seguretat sòlides i fomentant la col·laboració entre les parts interessades de la ciberseguretat, podem reduir l'impacte d'aquestes amenaces persistents.

Carregant...