Surge una nueva botnet inspirada en Mirai que representa una grave amenaza para la infraestructura crítica y organizaciones gubernamentales en México


Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

Si usted se mantiene informado sobre la seguridad en Internet y las tendencias de ataques DDoS, probablemente no considere la posibilidad de ser parte involuntaria de una botnet, asumiendo que su computadora está bien protegida. Sin embargo, debería reconsiderarlo, ya que a menos que haya tomado medidas como cambiar las contraseñas predeterminadas en todos sus dispositivos conectados, como refrigeradores inteligentes, televisores, relojes y monitores de video para bebés, existe la posibilidad de que esté contribuyendo a una de las botnets más grandes y peligrosas en la historia de los ataques DDoS.

De acuerdo con la unidad de investigación de SILIKN, se ha identificado una nueva variante de la botnet Mirai que ha ejecutado ataques DDoS a gran escala en más de 85 países. Esta botnet, que emplea el código fuente de Mirai junto con técnicas avanzadas, representa una amenaza global en constante crecimiento.

Desde agosto de 2024, esta botnet ha llevado a cabo una serie de ataques DDoS a gran escala, afectando a múltiples objetivos en más de 85 países, incluyendo México. Con un promedio de 18,000 ataques diarios, los blancos principales han sido infraestructuras críticas, dependencias gubernamentales, así como universidades, empresas de telecomunicaciones, bancos y plataformas de juegos.

En julio de 2023, la unidad de investigación de SILIKN dio a conocer que al menos 22 dependencias gubernamentales estaban en alto riesgo por una nueva serie de ataques diseñados para diseminar el malware de botnet Mirai y mineros de criptomonedas, aprovechando las vulnerabilidades de servidores Apache Tomcat mal configurados y mal protegidos.

Las dependencias antes mencionadas son:

- Instituto de Planeación del Estado de Nayarit
- Cita Verificación Vehicular del Gobierno del Estado de México
- Unidad del Sistema para la Carrera de las Maestras y Maestros
- Buzón Ciudadano de la Secretaría de la Contraloría del Poder Ejecutivo del Estado de Morelos
- Instituto de Educación para Adultos de Tabasco — INEA Tabasco
- Instituto de la Función Registral del Estado de México — IFREM
- Instituto Nacional de Antropología e Historia — INAH
- Catálogo Estatal de Trámites y Servicios (CAT) del Gobierno del Estado de Michoacán
- Centro de las Artes de San Luis Potosí
- Comisión Nacional para el Conocimiento y Uso de la Biodiversidad — CONABIO
- Secretaría de Desarrollo Urbano y Vivienda de la Ciudad de México
- Sistema Anticorrupción del Estado de Quintana Roo — SESAEQROO
- Centro Nacional de Prevención de Desastres — CENAPRED
- Procuraduría Federal de Protección al Ambiente
- Poder Judicial del Estado de Morelos
- Banco Nacional de Obras y Servicios Públicos — Banobras
- Instituto Mexicano de la Propiedad Industrial — IMPI
- Sistema de Información de la Secretaría de Salud
- Secretaría de Educación Pública de Hidalgo
- Servicios de Salud de San Luis Potosí
- Secretaría de Medio Ambiente y Recursos Naturales
- Gobierno Municipal de Acayucan, Veracruz

Inspirada en la botnet Mirai, esta nueva amenaza se ha convertido en una preocupación significativa por su gran alcance y su capacidad para operar de manera encubierta. La botnet utiliza una red de dispositivos de Internet de las Cosas (IoT) comprometidos como una fuerza masiva para ejecutar ataques DDoS a gran escala, sobrecargando los sistemas objetivo con tráfico y bloqueando el acceso de los usuarios.

Esta botnet destaca por su peligrosidad debido a su capacidad de utilizar cifrado, lo que oculta información crítica y facilita el control prolongado de los dispositivos comprometidos, complicando su detección y análisis. Además, su compatibilidad con diversas arquitecturas de CPU le permite atacar una amplia gama de dispositivos.

La botnet opera a través de una red distribuida de servidores de comando y control (C&C) para coordinar sus actividades, y despliega una amplia gama de métodos de ataque DDoS, como UDP Flood, ACK Bypass Flood y VSE Flood. También utiliza protocolos sin conexión, como UDP, para falsificar direcciones IP, lo que dificulta aún más rastrear su origen.

La botnet también se caracteriza por su persistencia. Aprovecha vulnerabilidades como la falla en Apache Hadoop YARN RPC e instala servicios que se inician automáticamente con el sistema, lo que la convierte en un adversario difícil de eliminar.

¿Qué es una botnet?

Una botnet es un conjunto de dispositivos conectados a Internet que han sido infectados con malware y pueden ser controlados de forma remota, sin que sus propietarios lo sepan. Estas redes se utilizan con frecuencia para llevar a cabo ataques distribuidos de denegación de servicio (DDoS), donde los dispositivos comprometidos generan tráfico malicioso hacia un objetivo, saturándolo y dejándolo inaccesible.

Aunque tradicionalmente las botnets estaban formadas por computadoras, la evolución de Internet ha ampliado el número de dispositivos vulnerables. La última tendencia se centra en el Internet de las cosas (IoT), dispositivos conectados que han transformado hogares y negocios. Sin embargo, muchos de estos dispositivos carecen de medidas de seguridad adecuadas, lo que los convierte en un blanco fácil para los atacantes. Redes como Mirai están explotando estas debilidades para formar grandes ejércitos de dispositivos “zombis” que se utilizan para realizar ataques en Internet.

¿Qué es la botnet Mirai?

La botnet Mirai está compuesta por dispositivos IoT infectados con un malware diseñado para buscar e infectar estos dispositivos utilizando contraseñas predeterminadas, además de ejecutar ataques distribuidos de denegación de servicio (DDoS). Este malware es tan efectivo en su función que elimina cualquier otro malware que pueda encontrar en los dispositivos.

Inicialmente, se estimó que la botnet Mirai incluía alrededor de 50,000 dispositivos, cifra que luego aumentó a 100,000 y posteriormente a 150,000. Actualmente, algunos ciberatacantes ofrecen servicios de DDoS utilizando la botnet Mirai, afirmando que hay hasta 500,000 dispositivos infectados.

Los ataques DDoS perpetrados por Mirai y otras botnets IoT tienen graves repercusiones, causando pérdidas significativas a las organizaciones y generando frustración entre los usuarios que no pueden acceder a los sitios web que necesitan.

Se han identificado aproximadamente 2,928 direcciones IP vinculadas a actividades maliciosas dirigidas a objetivos en México, las cuales forman parte de la botnet Mirai. Entre estas, algunas de las más frecuentes y peligrosas son:

187.192.198.65
189.147.224.253
187.133.150.234
189.173.160.174
187.158.229.220
189.250.150.193
189.181.50.191
187.204.30.138
187.168.209.176
189.154.98.162
201.110.144.147
201.103.153.89
187.150.60.42
187.134.7.24
189.146.111.17
187.224.8.92
177.224.147.50
201.143.135.78
201.138.133.27
189.237.41.66
189.129.57.70
187.173.230.220
187.192.245.182
201.174.248.210
187.250.55.176
189.150.224.140
201.110.69.222
187.207.108.242
189.226.165.63
187.213.29.255
187.232.136.81
187.145.117.3
189.179.245.235
187.251.192.69
187.224.149.24
189.235.167.178
177.224.147.12
189.173.5.230
187.251.120.158
189.153.149.25

Por lo tanto, es fundamental que las organizaciones fortalezcan su ciberseguridad para enfrentar la creciente amenaza de las botnets. Esto se puede lograr implementando soluciones basadas en modelos matemáticos de caos que sean invulnerables y que no fallen en la detección, ya que eluden este proceso y bloquean eficazmente todo malware sin necesidad de identificarlo previamente. Asimismo, estas soluciones tampoco fallan en las pruebas de prevención, ya que, al utilizar el modelo de caos, bloquean el 100% de las amenazas, garantizando así la protección de la organización incluso si el sistema es eludido o desactivado.

Otro tipo de soluciones pueden ser los firewalls ayudan a bloquear el tráfico sospechoso, mientras que los sistemas de detección de intrusiones (IDS) pueden detectar actividad inusual y alertar a los equipos de seguridad. El uso de protección DDoS basada en la nube también puede ayudar a reducir los ataques de alto volumen, minimizando el tiempo de inactividad de los sistemas críticos.

Las organizaciones deben estar en alerta constante ante la creciente amenaza de las botnets, que pueden comprometer la seguridad de sus sistemas y datos. Al adoptar estas medidas proactivas, las organizaciones pueden fortalecer su ciberseguridad, reducir el riesgo de ataques y asegurar la integridad de sus operaciones frente a estas amenazas.

Para más información, visite: https://www.silikn.com/