Los atacantes están utilizando una nueva variante de botnet Mirai, conocida como V3G4, para atacar dispositivos de Internet de las cosas y servidores basados en Linux.
Una nueva red de bots Mirai se utiliza en varios ataques
El 15 de febrero de 2023, los investigadores de seguridad de Unit42 en Palo Alto Networks publicaron un aviso sobre una nueva variante de botnet Mirai, denominada "V3G4". En el Publicación de Unit42, se advirtió a los lectores que varias campañas han utilizado el malware de botnet para llevar a cabo exploits, que se rastrearon entre julio y diciembre de 2022.
En general, el operador malicioso logró explotar 13 vulnerabilidades de seguridad, todas las cuales podrían permitir la ejecución remota de código para crear una botnet. Unit42 escribió en su aviso que, tras la ejecución remota de código, "las utilidades wget y curl se activan automáticamente ejecutado para descargar muestras del cliente Mirai de la infraestructura de malware y luego ejecutar el bot descargado clientela."
Unit42 también informó a los lectores que se sospecha que el mismo actor de amenazas está detrás de cada ataque. Además, el actor de amenazas usó un insulto racial en el ataque, que fue censurado en el aviso. En el momento de redactar este informe, no se ha vinculado ningún servicio malicioso a la serie de ataques.
Los servidores Linux y los dispositivos IoT han sido atacados
Esta nueva variante de Mirai se ha utilizado para explotar dispositivos IoT y servidores basados en Linux. En el aviso antes mencionado, Unit42 escribió que V3G4 "se dirige a servidores expuestos y dispositivos de red que ejecutan Linux", mientras que también apunta a dispositivos IoT, para "realizar más ataques, como Ataques distribuidos de denegación de servicio (DDoS)."
Unit42 también escribió que "una vez que el cliente establece una conexión con el servidor C2, el actor de amenazas puede emitir comandos al cliente para lanzar ataques DDoS". Las botnets son comúnmente utilizado en ataques DDoS para interrumpir el flujo típico de tráfico en línea de un servidor o sitio web. Esto puede hacer que el servidor o el sitio se bloquee, haciéndolo temporalmente inaccesible para los usuarios habituales.
Mirai Malware ha sido una amenaza durante años
Las variantes de la botnet Mirai se han utilizado en numerosas ocasiones en el pasado para lanzar ataques maliciosos desde la aparición del primer programa Mirai en 2016.
Muchas plataformas conocidas han sido atacadas mediante botnets Mirai, incluidas Minecraft, Amazon, Netflix y PayPal. No hay duda de que esta familia de malware representa un gran riesgo para los servicios en línea.
Los botnets son vectores de ataque peligrosos pero efectivos
La creación de una red de dispositivos zombis para llevar a cabo exploits maliciosos es un método sofisticado pero muy preocupante que utilizan los ciberdelincuentes en la actualidad, especialmente en los ataques DDoS. Sin duda, veremos surgir más tipos de malware de botnet en el futuro, posiblemente de los creadores de Mirai.
