Una tercera variante del software Malicioso de Aquabot basado en Mirai aparentemente toma el control de los teléfonos Mitel para crear un bott controlado controlado que puede lanzar ataques por servicio distribuido (DDoS). Según el equipo de inteligencia y respuestas de seguridad de Akamai, el malware, llamado Aquabotv3, explota activamente una vulnerabilidad conocida de los terminales para acceder a su función SIP (protocolo de inicio de sesión). Es interesante observar que esta variante tiene una característica única y sin precedentes (al menos en Mirai): señala cuando se detecta.

El equipo de Akamai indica que el software malicioso "presenta un comportamiento que nunca antes se había observado con Mirai": cuando el terminal infectado intenta eliminar el malware, su función [report_kill] Alerta al servidor de control y control (C2). Sin embargo, los investigadores dijeron que aún no habían visto una respuesta del servidor C2. "Los ataques DDoS siguen siendo una amenaza omnipresente para muchas compañías, y los botnets como Aquabot son jugadores clave", escribió Kyle Lefton y Larry Cashdollar, investigadores de seguridad de Akamai, en un blog. “Para un autor de Botnet novato, el retorno de la inversión de Mirai es alto. Es una de las familias más prósperas de botnets del mundo, y también es una de las más simples de modificar. »»

Índice
  1. Una característica única, pero no necesariamente una ventaja
  2. La lucha persistente contra los ataques DDoS basados ​​en Mirai
  3. Aquabot se presentó como un servicio DDoS como tal

Una característica única, pero no necesariamente una ventaja

Mirai fue diseñado para desviar objetos conectados (IoT) para crear botas de control remoto capaces de lanzar ataques DDoS a gran escala. Es el proveedor antivirus Antiy Labs quien, en noviembre de 2023, descubrió Aquabot por primera vez. El V3 utiliza una vulnerabilidad de inyección de pedidos a la que se refería a CVE-2024-41710, que se dirige específicamente a la serie de la serie 6800, 6900 y 6900W de Mitel. Revelado por primera vez a mediados de julio de 2024, esta vulnerabilidad le da a los atacantes la capacidad de obtener privilegios de administración y alterar los parámetros de entrada para acceder a datos confidenciales para luego ejecutar pedidos arbitrarios específicos para el sistema. "Estas máquinas IoT a menudo carecen de funciones de seguridad apropiadas, están al final del servicio u operan con configuraciones y contraseñas predeterminadas, ya sea por negligencia o por falta de conocimiento de los riesgos", escribieron investigadores de Akamai.

Este último señala que, a primera vista, el software malicioso parece ser solo un "binario de malware Mirai estándar con funciones típicas de ataque DDoS". Sin embargo, al mirarlo, descubrieron una función que envía una señal cuando detecta ciertas acciones de seguridad en el teléfono infectado que podría terminar la actividad maliciosa. Cuando se identifica una de estas acciones, Aquabotv3 lo captura, marca el malware como "protegido" contra esta señal, luego advierte su C2. "Todavía no hemos observado este comportamiento en una variante de Mirai, por lo que es posible que esta funcionalidad sea nueva", agregaron los investigadores. La verdadera razón de este comportamiento aún no está confirmada, pero podría usarse para monitorear la salud de la botnet. Los atacantes también podrían utilizar esta observación intencional de la actividad defensiva de un terminal para desarrollar "variantes más sigilosas". Finalmente, también podría usarse para detectar redes de zombis activas o campañas de desmantelamiento. "Este software malicioso no es particularmente silencioso, lo que podría ser perjudicial para él", dijeron Kyle Lefton y Larry Cashdollar.

La lucha persistente contra los ataques DDoS basados ​​en Mirai

El número de variantes de Mirai es incalculable: los investigadores han contado entre 7 y más de 200, pero las compañías de ciberseguridad muestran diligencia para erradicarlas. Hace una semana, por ejemplo, Cloudflare dijo que había detectado los DDO más grandes jamás registradosUn ataque de 5.6 terabits por segundo (TBP) lanzado por una variante de Mirai. El ataque estaba dirigido a un proveedor de servicios de Internet asiático desde más de 13,000 dispositivos IoT. Solo duró 80 segundos y se identificó y fue atenuado rápidamente por los sistemas autónomos de CloudFlare. "No hay intervención humana, no fue necesaria alerta y no hubo degradación de rendimiento", dijo Cloudflare en un blog la semana pasada.

En otro caso, los investigadores de Vulcheck han descubierto que, desde noviembre de 2024, los atacantes han utilizado el Botnet Gayfemboy, basado en malware de Mirai, para atacar vulnerabilidades previamente desconocidas en enrutadores e IoT Domescisques. Está claro que Mirai no está a punto de desaparecer, si nunca, más que los ataques DDoS. De hecho, Cloudflare informó un aumento del 53 % de las amenazas de DDoS en 2024 en comparación con 2023 y un aumento considerable del 1,885 % de los ataques superiores a 1 TBP, llamados ataques DDoS "hiper-volumétricos", entre el tercer y el cuarto cuarto y cuarto cuarto 2024.

Aquabot se presentó como un servicio DDoS como tal

Los investigadores de Akamai descubrieron que los creadores de Aquabotv3 han anunciado el botnet como un servicio DDoS a través de plataformas como Telegram, bajo diferentes nombres, incluidos Cursinq Firewall, The Eye Services y The Eye Botnet. Como han señalado, los ciberdelincuentes generalmente afirman que el botón no es dañino y que solo tiene la intención de probar la atenuación de los DDO (o ataques de "equipo rojo"). "Los actores de la amenaza afirman que es simplemente una prueba de concepto (POC) o una herramienta educativa, pero un análisis más profundo muestra que hacen que los DDoS como un servicio, o que los propietarios se jactan de explotar su propia botnet", dijeron los investigadores.

En cualquier caso, este último enfatizó la importancia de asegurar los terminales IoT aún configurados con identificadores predeterminados. Dado que muchos botnets dependen de las bibliotecas de contraseñas comunes para la autenticación, es importante verificar los identificadores de conexión y modificarlos si siempre están configurados de forma predeterminada o si son fáciles de adivinar. Además, los equipos de seguridad deben identificar dónde están los dispositivos IoT conocidos y "verificar que no hay dispositivos ilegales" entre ellos.