[17/02/2023] Una nueva variante de Mirai -el malware botnet utilizado para lanzar ataques DDoS masivos- ha estado atacando 13 vulnerabilidades en dispositivos IoT conectados a servidores Linux, según investigadores del equipo de ciberseguridad Unit 42 de Palo Alto Network.
Una vez que los dispositivos vulnerables se ven comprometidos por la variante, apodada V3G4, pueden ser totalmente controlados por los atacantes y convertirse en parte de una botnet, capaz de ser utilizada para llevar a cabo otras campañas, incluyendo ataques DDoS.
"Las vulnerabilidades tienen menor complejidad de ataque que las variantes observadas anteriormente, pero mantienen un impacto crítico en la seguridad que puede llevar a la ejecución remota de código", afirmó Unit 42 en su informe sobre la nueva variante.
La actividad de V3G4 se observó entre julio y diciembre del año pasado, en tres campañas, anotó Unit 42.
Las tres campañas parecían estar vinculadas a la misma variante y a la red de bots Mirai por varias razones, según los investigadores. Observaron que los dominios con la infraestructura de mando y control (C2) codificada -utilizada para mantener las comunicaciones con los dispositivos infectados- contenían el mismo formato de cadena de caracteres. Además, las descargas de scripts de shell son similares, y la botnet utilizada en todos los ataques presenta funciones idénticas.
El actor de la amenaza que desplegó V3G4 explotó vulnerabilidades que podían conducir a la ejecución remota de código, señaló Code 42. Una vez ejecutado, el malware tiene una función para comprobar si el dispositivo anfitrión ya ha sido infectado. Si ya ha sido infectado, sale del dispositivo. También intenta desactivar un conjunto de procesos de una lista codificada, que incluye otras familias de malware de botnets competidoras.
Cómo funciona la variante Mirai V2G4
Mientras que la mayoría de las variantes de Mirai utilizan la misma clave para el cifrado de cadenas, la variante V3G4 utiliza diferentes claves de cifrado XOR para diferentes escenarios, señaló el investigador (XOR es una operación lógica booleana de uso frecuente en el cifrado). V3G4 empaqueta un conjunto de credenciales de inicio de sesión por defecto o débiles que utiliza para llevar a cabo ataques de fuerza bruta a través de los protocolos de red Telnet y SSH, y propagarse a otras máquinas. Después, establece contacto con el servidor C2 y espera a recibir órdenes para lanzar ataques DDoS contra objetivos, según la Unidad 42.
V3G4 ha aprovechado vulnerabilidades, entre ellas las de la herramienta de gestión FreePBX para servidores de comunicaciones Asterisk (vulnerabilidad CVE-2012-4869); Atlassian Confluence (CVE-2022-26134); la herramienta de administración de sistemas Webmin (CVE-2019-15107); los ruters DrayTek Vigor (CVE-2020-8515 y CVE-2020-15415); y el sistema de gestión web C-Data (CVE-2022-4257).
Para obtener una lista completa de las vulnerabilidades explotadas que se han observado hasta ahora, sugerencias de software de ciberseguridad que puede detectar y prevenir la infección, y fragmentos de código que sirven como indicios de compromiso, consulte el aviso de Palo Alto. El equipo de la Unidad 42 también recomienda aplicar parches y actualizaciones para corregir las vulnerabilidades, cuando sea posible.
Cómo se desarrolló la red de bots Mirai
En los últimos años, Mirai ha intentado envolver sus tentáculos alrededor de SD-WAN, ha atacado sistemas de videoconferencia empresariales y ha aprovechado Aboriginal Linux para infectar múltiples plataformas.
La red de bots Mirai era una iteración de una serie de paquetes de malware desarrollados por Paras Jha, un estudiante de la Universidad de Rutgers. Jha lo publicó en Internet bajo el nombre de "Anna-Senpai", bautizándolo Mirai (en japonés, "el futuro"). La botnet encapsulaba algunas técnicas inteligentes, incluida una lista de contraseñas codificadas.
En diciembre del 2016, Jha y sus socios se declararon culpables de delitos relacionados con los ataques Mirai. Sin embargo, para entonces el código ya estaba disponible y se utilizaba como bloques de construcción para otros controladores de redes de bots.
Esto significaba que cualquiera podía utilizarlo para intentar infectar dispositivos IoT y lanzar ataques DDoS, o vender esa capacidad al mejor postor. Muchos ciberdelincuentes han hecho precisamente eso, o están retocando y mejorando el código para hacerlo aún más difícil de combatir.
La primera gran oleada de ataques de Mirai se produjo el 19 de septiembre del 2016 y se utilizó contra el host francés OVH. Mirai también fue responsable de un ataque DDoS en el 2016 contra el proveedor de DNS Dyn, en el que participaron unos 100 mil dispositivos infectados. Como resultado, las principales plataformas y servicios de Internet no estuvieron disponibles para los usuarios de Europa y Norteamérica.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú