Una botnet que ha surgido recientemente, basada en el conocido código malicioso Mirai, está ganando en sofisticación y expansión, al punto de que ahora utiliza vulnerabilidades de día cero para explotar fallas de seguridad en dispositivos domésticos inteligentes y enrutadores industriales.
El origen de los ataques con exploits de día cero comenzó en noviembre de 2024, según los expertos de Chainxin X Lab, quienes han estado monitoreando los desarrollos y las agresiones de la botnet. Esta evolución es una señal de que los ciberdelincuentes continúan adaptándose a los cambios y encontrando nuevas formas de vulnerar la seguridad de dispositivos conectados a Internet.
Exploits Críticos y Vulnerabilidades Afectadas
Uno de los principales problemas de seguridad es la vulnerabilidad CVE-2024-12856, descubierta por VulnCheck a finales de diciembre de 2024, que afecta a los enrutadores industriales Four-Faith. Los primeros intentos de explotación de esta vulnerabilidad se detectaron el 20 de diciembre. La botnet no solo explota esta falla, sino que también emplea exploits personalizados dirigidos a otros dispositivos, como los enrutadores Neterbit y los dispositivos domésticos inteligentes Vimar.
Este tipo de explotación de día cero no solo pone en peligro dispositivos industriales, sino también productos del hogar inteligente que a menudo son desprotegidos y vulnerables por sus configuraciones predeterminadas. La utilización de vulnerabilidades previamente desconocidas por parte de los atacantes resalta la creciente sofisticación de la botnet y su capacidad para adaptarse rápidamente a las tecnologías emergentes.
Características de la Botnet y su Propósito
La botnet, cuyo nombre tiene connotaciones homofóbicas, fue detectada por primera vez en febrero de 2024. Desde entonces, ha crecido significativamente, contando con unos 15,000 nodos activos diariamente, principalmente ubicados en China, Estados Unidos, Rusia, Turquía e Irán. Su objetivo principal es ejecutar ataques de denegación de servicio distribuidos (DDoS) de alta intensidad contra objetivos específicos con fines de lucro. Durante los meses de octubre y noviembre de 2024, la botnet alcanzó su punto máximo, atacando a cientos de entidades diariamente.
Los ataques DDoS generados por esta botnet son característicos por su corta duración (entre 10 y 30 segundos), pero por su alta intensidad, alcanzando más de 100 Gbps de tráfico. Esto tiene el potencial de generar interrupciones importantes, incluso en infraestructuras que se consideran robustas.
Exploits y Dispositivos Afectados
El malware detrás de esta botnet hace uso tanto de exploits públicos como de vulnerabilidades privadas, dirigiéndose a más de 20 fallas de seguridad para propagarse a dispositivos expuestos en la red. Los principales dispositivos afectados incluyen:
- Enrutadores ASUS (exploits de N-day).
- Enrutadores Huawei (CVE-2017-17215).
- Enrutadores Neterbit (exploit personalizado).
- Enrutadores LB-Link (CVE-2023-26801).
- Enrutadores industriales Four-Faith (CVE-2024-12856, día cero).
- Cámaras PZT (CVE-2024-8956 y CVE-2024-8957).
- DVR Kguard y Lilin DVR (exploits de ejecución remota de código).
- Dispositivos domésticos inteligentes Vimar (posiblemente una vulnerabilidad no revelada).
- Dispositivos 5G/LTE (por configuraciones incorrectas o credenciales débiles).
A través de estas vulnerabilidades, la botnet puede tomar el control de dispositivos expuestos, permitiendo que los atacantes lancen ataques DDoS masivos, roben información o manipulen redes enteras.
Técnicas de Infección y Propagación
La botnet utiliza una variedad de métodos para propagar sus ataques, entre los que se incluyen módulos de fuerza bruta para obtener acceso a contraseñas débiles de Telnet, así como empaquetamiento UPX personalizado y estructuras de comando basadas en el conocido malware Mirai. Estos métodos permiten que los atacantes puedan actualizar sus clientes, escanear redes y ejecutar ataques de manera más eficiente.
Impacto Global de los Ataques
Los objetivos de los ataques no están limitados a un solo sector, sino que afectan a una variedad de industrias y regiones. X Lab señala que los principales objetivos de los ataques de esta botnet incluyen empresas ubicadas en países como China, Estados Unidos, Alemania, Reino Unido y Singapur. Este enfoque global refleja la capacidad de los atacantes para dirigir sus esfuerzos a una variedad de infraestructuras y dispositivos en todo el mundo.
Recomendaciones de Seguridad
Los expertos recomiendan que los usuarios y administradores de sistemas tomen medidas inmediatas para protegerse contra esta amenaza. Algunas de las mejores prácticas incluyen:
- Instalar las actualizaciones más recientes proporcionadas por los proveedores de dispositivos.
- Deshabilitar el acceso remoto a los dispositivos si no es necesario.
- Cambiar las credenciales predeterminadas de administrador, asegurándose de usar contraseñas robustas.
- Utilizar firewalls y otras soluciones de seguridad para detectar tráfico anómalo y prevenir ataques.
A medida que las botnets continúan evolucionando, la clave para prevenir futuros ataques radica en la mejora continua de las medidas de seguridad y la pronta actualización de los dispositivos conectados a Internet.
