Se está utilizando una nueva versión del malware botnet RapperBot para atacar servidores de juegos con ataques DDoS. Los dispositivos IoT se utilizan como puertas de enlace para llegar a los servidores.
Servidores de juegos atacados por atacantes DDoS
Los actores de amenazas están utilizando el malware RapperBot para llevar a cabo ataques distribuidos. denegación de servicio (DDoS) Ataques a servidores de juegos. Las plataformas Linux corren el riesgo de sufrir ataques de esta botnet altamente peligrosa.
en un Publicación de blog de Fortinet, se afirmó que es probable que RapperBot esté dirigido a servidores de juegos debido a los comandos específicos que admite y la ausencia de ataques DDoS relacionados con HTTP. IoT (Internet de las cosas) los dispositivos están en riesgo aquí, aunque parece que RapperBot está más preocupado por apuntar a dispositivos más antiguos equipados con el chipset Qualcomm MDM9625.
RapperBot parece apuntar a dispositivos que se ejecutan en arquitecturas ARM, MIPS, PowerPC, SH4 y SPARC, aunque no está diseñado para ejecutarse en conjuntos de chips Intel.
Este no es el debut de RapperBot
RapperBot no es nuevo en el espacio del cibercrimen, aunque tampoco existe desde hace años. RapperBot fue notado por primera vez en la naturaleza en agosto de 2022 por Fortinet, aunque desde entonces se ha confirmado que ha estado en funcionamiento desde mayo del año anterior. En este caso, RapperBot se estaba utilizando para iniciar SSH ataques de fuerza bruta para propagarse en servidores Linux.
Fortinet declaró en la publicación de blog antes mencionada que la diferencia más significativa en esta versión actualizada de RapperBot es "el reemplazo completo del código de fuerza bruta SSH con el Telnet más habitual equivalente".
Este código Telnet está diseñado para la autopropagación, que se asemeja mucho y puede estar inspirado en la antigua red de bots Mirai IoT que se ejecuta en procesadores ARC. El código fuente de Mirai se filtró a fines de 2016, lo que llevó a la creación de numerosas versiones modificadas (una de las cuales puede ser RapperBot).
Pero a diferencia de Mirai, esta iteración de los descargadores binarios incorporados de RapperBot se "almacenan como cadenas de bytes escapadas, probablemente para simplificar el análisis y el procesamiento dentro del código", como se indica en la publicación del blog de Fortinet sobre la nueva versión del red de bots
No se conocen los operadores de Botnet
Al momento de escribir, los operadores de RapperBot permanecen en el anonimato. Sin embargo, Fortinet afirmó que los escenarios más probables son un solo actor malicioso o un grupo de actores con acceso al código fuente. Más información sobre esto puede salir en un futuro próximo.
También es probable que esta versión actualizada de RapperBot sea utilizada por las mismas personas que operó la iteración anterior, ya que necesitarían acceso al código fuente para llevar a cabo ataques
La actividad de RapperBot continúa siendo monitoreada
Fortinet finalizó su publicación de blog sobre la variante actualizada de RapperBot asegurando a los lectores que la actividad del malware será monitoreada en el futuro. Por lo tanto, es posible que sigamos viendo más instancias del uso de RapperBot a medida que pasa el tiempo.
