Para llevar a cabo sus ataques, los ciberdelincuentes suelen recurrir a botnets, un conjunto de máquinas infectadas (PC, IoT, servidores). Trustwave intentó determinar la proporción de estas botnets en el tráfico web malicioso. Para ello, la editorial colocó honeypots en diferentes países: Rusia, Ucrania, Polonia, Reino Unido, China y Estados Unidos. "Gracias a esta distribución, pudimos recopilar un conjunto confiable de información sobre los métodos y técnicas utilizados por los atacantes y sus botnets, y tener una comprensión integral del panorama de amenazas actual", dijo el editor. Esta investigación le permitió detectar la explotación en la naturaleza de algunas aplicaciones empresariales vulnerables específicas, incluidas Forta GoAnywhere MFT, Microsoft Exchange, Fortinet FortiNAC, Atlassian Bitbucket y F5 Big-IP, explotadas a los pocos días del lanzamiento de PoC.

Entre diciembre de 2022 y mayo de 2023, Trustwave analizó 38.000 IP únicas y descargó poco más de 1.100 cargas útiles asociadas con intentos de explotación. "Casi el 19% del tráfico web total registrado fue malicioso, y las botnets fueron responsables de más del 95% del tráfico web malicioso detectado", afirma el informe. El objetivo principal de estos ataques de botnet era descargar un web shell, es decir, un script malicioso, para obtener acceso no autorizado a sitios web o servidores comprometidos y permitir a los atacantes llevar a cabo otras acciones contra los honeypots de Trustwave haciéndose pasar por víctimas potenciales.

Las botnets Mozi, Kinsing y Mirai, entre las más ofensivas

Un análisis más detallado reveló que las botnets Mozi, Kinsing y Mirai estaban detrás de casi todos (95%) de estos intentos de explotación. Mientras que Mozi representó el 73% de las botnets utilizadas, Mirai y Kinsing contribuyeron con el 9% y el 13% respectivamente. “Estas conocidas familias de malware se utilizan principalmente para explorar vulnerabilidades en terminales conectados a Internet y luego se agrupan en botnets para llevar a cabo ataques distribuidos de denegación de servicio (DDoS) o extraer criptomonedas”, indica el estudio.

Por ejemplo, las botnets Mozi y Mirai explotaron vulnerabilidades de IoT en enrutadores Netgear, DVR MVPower, enrutadores D-link y Realtek SDK. En cuanto a las botnets Kinsing, intentaron instalar el minero de criptomonedas XMRig en sistemas basados ​​en Linux utilizando varias vulnerabilidades, incluso en Apache HTTP Server, PHPUnit, ThinkCMF y ThinkPHP. "El método de distribución de nuestros señuelos no nos permitió examinar las acciones posteriores que podrían haber tomado los atacantes", especifica también el informe.