Variante De Mirai Agrega Docenas De Exploits Nuevos Amenazando Dispositivos IoT
Investigadores de seguridad han descubierto una nueva variante del malvado botnet Mirai Internet De Las Cosas. Esta vez amenazando dispositivos que se usan en ambientes de negocios en un intento de ganar control en más ancho de banda para llevar a cabo ataques DDoS devastadores.
Aunque los creadores del botnet original Mirai han sido arrestados y puestos en prisión, variantes del malware, entre ellas Satori y Okiru, siguen emergiendo debido a la disponibilidad de su código fuente desde 2016.
Visto por primera vez en 2016, Mirai es un malware de tipo IoT botnet bien conocido que tiene la habilidad de infectar routers, cámaras de seguridad, DVRs, y otros dispositivos inteligentes — los cuales típicamente usan credenciales por defecto y corren versiones antiguas de Linux — y encadenan los dispositios comprometidos para formar un botnet, el cual es usado luego para realizar ataques DDoS.
Nueva Variante de Mirai Amenaza Dispositivos IoT De Empresas
Ahora, los investigadores de Palo Alto Network Unit 42 han descubierto una nueva variante de Mirai que por primera vez amenaza dispositivos enfocados en empresas, incluyendo los sistemas de WePresent WiPG-1000 Wireless Presentation y las TVs LG Supersign.
La variante de Mirai agrega 11 nuevos exploits a su “batería multi-exploit”, haciéndolos un total de 27 exploits, así como una nueva lista de “inusuales credenciales por defecto” para usarlos en ataques de fuerza bruta contra dispositivos conectados a Internet.
“Estas nuevas características le dan al botnet una extensa superficie de ataque”, investigadores de Unit 42 reportaron en un post publicado el lunes. “En particular, atacar a enlaces de empresa además garantiza su acceso a una bande de ancha más grande, resultando al final en un mayor poder para el botnet al realizar ataques DDoS.”
Mientras que el código de ejecución remota se puso a disposición en septiembre del año pasado, código de ataque explotando una vulnerabilidad de comando de inyección en el WePresent WiPG-1000 fue publicado en 2017.
Aparte de estos dos exploits, la nueva variante de Mirai está también apuntando a varios dispositivos como:
- Routers Linksys
- Routers ZTE
- Routers DLink
- Dispositivos de almacenamiento en red
- Cámaras NVR y de IP
Después de escanear e identificar dispositivos vulnerables, el malware obtiene los datos del nuevo Mirai desde un sitio web comprometido y lo descarga en un dispositivo objetivo, el cual es luego agregado a la red de botnet y eventualmente puede ser usado para realizar ataques de HTTP Flood DDoS.
Mirai es el malvado botnet responsable de algunos de los icónicos ataques de DDoS, incluyendo el ataque contra la empresa proveedora de hosting con base en Francia OVH, y el servicio de Dyn DNS que afectó a algunos de los sitios más grandes del mundo, como Twitter, Netflix, Amazon y Spotify.
Los ataques basados en Mirai experimentaron un incremento en su número después de que alguien publicó su código fuente en octubre de 2016, permitiendo que los atacantes mejoraran el malware con nuevos exploits secretos de acuerdo a las necesidades y los objetivos.
“Estos [nuevos] desarrollos resaltan la importancia de que las empresas estén atentas a cuidar de los dispositivos IoT en su red, cambiar contraseñas por defecto, y asegurar que los dispositivos estén siempre al día con los parches”, dijeron los investigadores.
“Y en el caso de que los dispositivos no puedan ser parchados, eliminar esos dispositivos de sus redes como un último recurso.”
¿Cómo contrarrestar la amenaza? Simplemente asegúrate de cambiar las contraseñas por defecto de tus dispositivos conectados a Internet tan pronto como los lleves a tu hogar y oficina, y siempre mantenlos actualizados con los nuevos parches de seguridad.