Home » Variantes de la Botnet Mirai dirigidas a nuevos procesadores y arquitecturas
CIBERSEGURIDAD

Variantes de la Botnet Mirai dirigidas a nuevos procesadores y arquitecturas

Mirai Botnet

La Unidad 42 de Palo Alto Networks descubrió una colección de nuevas muestras de malware Mirai compiladas para funcionar con nuevos procesadores y arquitecturas a fines de febrero de 2019.

El informe de la Unidad 42 dice que “las muestras recién descubiertas se compilan para los procesadores Altera Nios II, OpenRISC, Tensilica Xtensa y Xilinx MicroBlaze”, que permite a los atacantes que usan esta nueva variante de Mirai expandir su superficie de ataque y apuntar a nuevos dispositivos.

Si bien esto también se puede hacer agregando más exploits para ser usados ​​en los ataques, agregar más arquitecturas compatibles es otra forma simple de aumentar la cantidad de dispositivos que se pueden agregar a la botnet que controlan.

Además, los investigadores de la Unidad 42 afirman que “si las últimas innovaciones llevan a un aumento en el número de dispositivos infectados, eso significa que los atacantes Mirai tendrían acceso a una potencia de fuego adicional para usar en ataques de denegación de servicio”.

Estas variantes de Mirai también “hacen uso de una versión modificada del XOR de byte estándar (como se implementó en la función toggle_obf) utilizada en el código fuente original de Mirai”, que utiliza 11 claves de 8 bytes, el equivalente de un XOR de byte. con 0x5a.

Directorio abierto que alberga las nuevas variantes de Mirai.
Directorio abierto que alberga las nuevas variantes de Mirai.

Además, los “desarrolladores” agregaron una nueva opción de ataque DDoS llamada attack_method_ovh con los mismos parámetros utilizados para los ataques TCP SYN DDoS por el código fuente original de Mirai.

Las nuevas muestras encontradas por la Unidad 42 en un directorio abierto alojado en un servidor desprotegido vinieron con una serie de vulnerabilidades que también se encontraron en las muestras anteriores de Mirai, que van desde una vulnerabilidad de Ejecución remota de código ThinkPHP y una Inyección de comandos D-Link DSL2750B hasta explotaciones dirigidas a Netgear , Huawei, y equipos Realtek utilizando explotaciones de ejecución remota de código.

El hecho de que estas vulnerabilidades también se usen en estas versiones compiladas de Mirai muestra que el mismo actor de amenazas probablemente está detrás de múltiples ataques utilizando diversas variantes de este malware de botnet según los investigadores.

En noticias relacionadas, solo el mes pasado, la Unidad 42 de Palo Alto Networks también encontró una variante Mirai que presenta once nuevos exploits con los televisores LG Supersign y los sistemas de presentación inalámbricos WePresent WiPG-1000 de la empresa como los dispositivos nuevos más notables a los que se apunta.

Amenaza de malware en constante evolución

Anteriormente,  durante septiembre , la Unidad 42 también detectó una variedad de objetivos de conmutación de bots de Mirai para atacar servidores Apache Struts con vulnerabilidades también utilizadas durante la brecha de Equifax del año pasado  , mientras que una nueva versión de Gafgyt se vio atacando los firewalls de SonicWall, como parte de un movimiento más amplio contra dispositivos empresariales

“Estas nuevas características le dan a la botnet una gran superficie de ataque. En particular, los enlaces empresariales dirigidos también le otorgan acceso a un ancho de banda más grande, lo que finalmente da como resultado una mayor potencia de fuego para la botnet para ataques DDoS”, dijeron los investigadores de la Unidad 42.

Mirai es un malware de botnet de autopropagación diseñado para atacar dispositivos de Internet de las Cosas (IoT) como enrutadores, grabadores de video digitales y cámaras IP, convirtiéndolos en “bots” después de comprometerlos exitosamente, usándolos como fuentes para Distributed a gran escala. Ataques de Denegación de Servicio (DDoS).

Durante 2016, varios actores maliciosos anunciaron enormes botnets Mirai de  cientos de miles  de bots capaces de lanzar ataques DDoS de  más de 650 Gbps , con cientos de miles de dispositivos [ 1 ,  2 ] impactados durante cada ataque.

X