El regreso de la botnet Mirai

David Strom 27 nov 2020

Noticias sobre el regalo (malicioso) que sigue dando

¿Recuerdas a Mirai? Esta botnet de hace cuatro años fue el flagelo de Internet y se utilizó como plataforma de lanzamiento para numerosos ataques DDoS. En 2016, la botnet interrumpió un ISP alemán, toda la conexión a Internet de Liberia, los servicios DNS de Dyn.com (ahora propiedad de Oracle) y el sitio web de Brian Krebs.

Fue único porque recopiló más de 24,000 dispositivos IoT, incluidas cámaras web, numerosos enrutadores domésticos y otros dispositivos integrados. Su tamaño también fue significativo: cuando Krebs fue atacado, fue la serie más grande de ataques DDoS hasta la fecha, con cinco eventos separados que concentraron más de 700B bits por segundo de tráfico en su servidor web. 

Desde esos días, Mirai ha seguido ganando notoriedad. Su código fuente fue lanzado en GitHub poco después de estos primeros ataques en 2016, donde se ha descargado miles de veces y ha formado la base de un DDoS-as-a-service para delincuentes. Meses después, Krebs describió cómo descubrió la verdadera identidad (sitio en inglés) del filtrador. Escribimos en un blog al respecto en 2018 (sitio en inglés), cuando los investigadores de Avast encontraron una nueva cepa llamada Torii. Tenía más componentes de sigilo y se usaba para robar información en lugar de coordinar ataques DDoS. Torii también expandió las fuentes de la botnet más allá de los dispositivos de IoT e incluyó una amplia gama de sistemas operativos y conjuntos de chips para el abuso. Finalmente, tres autores de Mirai fueron multados y cinco años de libertad condicional, en parte porque cooperaron con los fiscales para frustrar otros ataques.

Lo último en Mirai

Mirai todavía existe y se utiliza para nuevos propósitos nefastos. El año pasado, los investigadores encontraron una variante de Echobot , que se destaca porque contiene 71 exploits diferentes, todos empaquetados junto con más de una docena de nuevos que nunca se han utilizado anteriormente. Una publicación en ZDnet en marzo encontró la variante llamada Mukashi que explotaba los dispositivos de almacenamiento conectados a la red Zyxel. (La compañía lanzó rápidamente un parche de firmware). En julio, otros investigadores encontraron una nueva vulnerabilidad en una colección de enrutadores basados ​​en Linux. Luego, en octubre, se descubrieron dos nuevas vulnerabilidades que demostraron cómo Mirai podía aprovechar el servicio de tiempo de red. Se encontraron cuatro nuevas variantes que implican inyecciones de comandos para descargar scripts de shell. Estas variantes eran clásicas de Mirai en el sentido de que los dispositivos explotados se utilizaron como parte de los ataques de botnet DDoS.

Claramente, Mirai es el regalo que sigue dando.

Mitigaciones recomendadas

Hay varias cosas que los gerentes de TI empresariales pueden hacer para mitigar la fuerza de Mirai o de cualquier ataque DDoS. En primer lugar, aquí hay algunas estrategias recomendadas de mitigación de ataques DDoS que vale la pena leer. En primera, debes de estar seguro que cambiaste contraseñas por defecto de fábrica en todos los equipos de la red. ya que las contraseñas predeterminadas sin cambios han permitido a Mirai recopilar múltiples cámaras web y enrutadores de IoT de punto final.

--> -->