Según los investigadores del equipo de ciberseguridad de la Unidad 42 de Palo Alto Network, una variante de Mirai: el malware Botnet utilizado para lanzar ataques masivos de DDoS cuyo creador terminó siendo eliminado - ha dirigido 13 defectos en terminales IoT conectados a los servidores Linux. Una vez comprometido por la variante, V3G4 bautizado de Mirai, pueden ser completamente controlados por los atacantes y parte de una botnet utilizada para otras campañas, incluidos los ataques DDoS. "Las vulnerabilidades tienen menos complejidad de ataque que las variantes observadas anteriormente, pero mantienen un impacto crítico en la seguridad que puede conducir a la ejecución del código remoto", dicho Unidad 42 en un último informe.

La actividad V3G4 se observó entre julio y diciembre del año pasado, en tres campañas según la Unidad 42. Las tres campañas parecían estar vinculadas a la misma variante y la misma botnet Mirai por varias razones, según los investigadores. Señalaron que los dominios con la infraestructura de control y control (C2) codificados en duro y utilizados para mantener las comunicaciones con sistemas infectados, contenían el mismo formato de cadena de caracteres. Además, las descargas de script de Shell son similares y la botnet utilizada en todos los ataques tiene funciones idénticas. El actor malicioso que implementa V3G4 ha explotado vulnerabilidades que podrían conducir a la ejecución de código remoto, según la Unidad 42. Una vez ejecutado, el malware activa una función para verificar que el dispositivo de host ya se ha infectado. Si este es el caso, se extenderá en otro. También intentará desactivar un conjunto de procesos de una lista codificada, incluidas otras familias de malware de Botnet Competing.

Índice
  1. Muchos defectos explotados
  2. Una botnet formidable

Muchos defectos explotados

Si bien la mayoría de las variantes de Mirai usan la misma clave para el cifrado de cadena, el V3G4 usa varias claves de cifrado XOR, una operación lógica booleana, para diferentes escenarios, indica investigación. V3G4 contiene un conjunto de identificadores de conexión predeterminados o bajos para llevar a cabo ataques de fuerza bruta a través de los protocolos de red Telnet y SSH, y se extienden a otras máquinas. Después de lo cual estableció contacto con el servidor C2 y espera recibir pedidos de lanzar ataques DDoS contra objetivos según la Unidad 42.

V3G4 explotado muchas vulnerabilidadesEn particular, los de la herramienta de administración de FreEPBX para servidores de comunicación de asterisco (CVE-2012-4869), Atlassian Confluence (CVE-2022-26134), la herramienta de administración del sistema webmins (CVE-2019-15107), Enrutadores Draytek Vigor (CVE-2020-8515 : Y CVE-2020-15415), o el sistema de administración web de C-Data (CVE-2022-4257). Unidad 42 Los investigadores también recomiendan aplicar correcciones y actualizaciones para remediar las vulnerabilidades, cuando sea posible.

Una botnet formidable

En los últimos años, Mirai ha tratado de envolver sus tentáculos en torno a SD-WAN, para atacar a los sistemas de videoconferencias comerciales y usar Linux nativo para infectar varias plataformas. El Mirai Botnet fue una iteración de una serie de paquetes de malware desarrollados por Paras JHA, estudiante de pregrado en la Universidad de Rutgers. JHA lo publicó en línea bajo el nombre de "Anna-Senpai", nombrándolo Mirai (japonés para "el futuro"). Botnet encapsuó ciertas técnicas sofisticadas que incluyen una lista de contraseñas codificadas.

En diciembre de 2016, Paras Jha y sus asociados se declararon culpables de crímenes relacionados con los ataques de Mirai. Pero en ese momento, el código ya había ido en la naturaleza y se había utilizado para otros operadores de Botnet. Esto significaba que cualquiera podría usarlo para tratar de infectar terminales IoT y lanzar ataques DDoS, o incluso vender esta capacidad al más delincuente. Muchos cibercriminales han hecho exactamente eso, o están en proceso de refinar y mejorar el código para que sea aún más difícil de luchar. La primera gran ola de ataques de Mirai tuvo lugar el 19 de septiembre de 2016 y se utilizó contra el anfitrión francés OVH. Mirai también fue responsable de un ataque DDoS ese mismo año contra el proveedor DNS Dyn con alrededor de 100,000 terminales infectados. En consecuencia, las plataformas principales y los servicios de Internet no estaban disponibles para usuarios en Europa y América del Norte.