Los investigadores de seguridad han descubierto una nueva variante de la infame botnet Mirai Internet of Things, esta vez dirigida a dispositivos integrados destinados a entornos empresariales en un intento de obtener control sobre un ancho de banda más grande para llevar a cabo devastadores ataques DDoS.
Aunque los creadores originales de la botnet Mirai ya han sido arrestados y encarcelados, siguen surgiendo variantes del infame malware IoT, incluidos Satori y Okiru, debido a la disponibilidad de su código fuente en Internet desde 2016.
Surgido por primera vez en 2016, Mirai es un conocido malware de botnet de IoT que tiene la capacidad de infectar enrutadores, cámaras de seguridad, DVR y otros dispositivos inteligentes, que generalmente usan credenciales predeterminadas y ejecutan versiones obsoletas de Linux, y esclavizan los dispositivos comprometidos para formar una botnet, que luego se utiliza para realizar ataques DDoS.
La nueva variante de Mirai apunta a dispositivos IoT empresariales
Ahora, los investigadores de Palo Alto Network Unit 42 han detectado la variante más nueva de Mirai que, por primera vez, está dirigida a dispositivos enfocados en empresas, incluidos los sistemas de presentación inalámbrica WePresent WiPG-1000 y los televisores LG Supersign.
La variante Mirai agrega 11 nuevos exploits a su «batería de múltiples exploits», lo que hace un total de 27 exploits, así como un nuevo conjunto de «credenciales predeterminadas inusuales» para usar en ataques de fuerza bruta contra dispositivos conectados a Internet.
«Estas nuevas características le brindan a la botnet una gran superficie de ataque», informaron los investigadores de Unit 42 en una publicación de blog publicada el lunes. «En particular, apuntar a los enlaces empresariales también le otorga acceso a un mayor ancho de banda, lo que en última instancia resulta en una mayor potencia de fuego para la botnet para los ataques DDoS».
Si bien en septiembre del año pasado se puso a disposición un exploit de ejecución remota de código para televisores LG Supersign (CVE-2018-17173), en 2017 se publicó un código de ataque que explota una vulnerabilidad de inyección de comandos en WePresent WiPG-1000.
Además de estos dos exploits, la nueva variante de Mirai también apunta a varios hardware integrados como:
- Enrutadores Linksys
- enrutadores ZTE
- Enrutadores DLink
- Dispositivos de almacenamiento en red
- NVR y cámaras IP
Después de escanear e identificar los dispositivos vulnerables, el malware obtiene la nueva carga útil de Mirai de un sitio web comprometido y la descarga en un dispositivo de destino, que luego se agrega a la red de botnet y, finalmente, se puede usar para lanzar ataques HTTP Flood DDoS.
Mirai es la infame red de bots que fue responsable de algunos de los ataques DDoS que batieron récords, incluidos aquellos contra el proveedor de alojamiento con sede en Francia OVH y el servicio Dyn DNS. eso paralizó algunos de los sitios más grandes del mundo, incluidos Twitter, Netflix, Amazon y Spotify.
Los ataques basados en Mirai experimentaron un aumento repentino después de que alguien publicara su código fuente en octubre de 2016, lo que permitió a los atacantes actualizar la amenaza de malware con exploits recientemente revelados de acuerdo con sus necesidades y objetivos.
«Estas [new] Los desarrollos subrayan la importancia de que las empresas estén al tanto de los dispositivos IoT en su red, cambien las contraseñas predeterminadas y se aseguren de que los dispositivos estén completamente actualizados con los parches «, dijeron los investigadores.
«Y en el caso de dispositivos que no se pueden parchear, eliminar esos dispositivos de la red como último recurso».
Entonces, ¿la comida para llevar? Asegúrese de cambiar las contraseñas predeterminadas para sus dispositivos conectados a Internet tan pronto como los lleve a casa o a la oficina, y manténgalos siempre actualizados con nuevos parches de seguridad.