Investigadores de la Unidad 42 de Palo Alto Networks han detectado una nueva variante de la infame botnet Mirai, que se propaga a servidores basados en Linux y dispositivos IoT para crear un enorme enjambre de DDoS. (se abre en una pestaña nueva) gruñidos
Para infectar los puntos finales con la nueva red de bots V3G4, los atacantes utilizarían credenciales de telnet/SSH débiles o predeterminadas de fuerza bruta y luego abusarían de una de las 13 vulnerabilidades conocidas para ejecutar código de forma remota e instalar el malware.
Hasta ahora, entre julio de 2022 y diciembre de 2022, los investigadores detectaron tres campañas diferentes, todas las cuales parecen provenir del mismo actor de amenazas. El razonamiento aquí es que los dominios C2 codificados contienen la misma cadena en los tres, las descargas de scripts de shell son similares y, según se informa, los clientes de botnet tienen características similares.
Luchando contra otras botnets
La botnet viene con una serie de características interesantes, incluida una en la que intenta terminar, entre otros procesos, los que pertenecen a otras familias de botnets. Por lo tanto, es seguro asumir que los actores de amenazas están tratando de secuestrar puntos finales ya comprometidos de otros actores de amenazas.
Además, a diferencia de otras variantes de Mirai que usan solo una clave de cifrado XOR, V3G4 usa cuatro, lo que dificulta que los investigadores de ciberseguridad realicen ingeniería inversa del malware.
La mejor manera de protegerse contra V3G4 es asegurarse de que sus puntos finales con tecnología de Linux estén actualizados e invulnerables no solo a las 13 fallas de las que se abusa en estas campañas, sino también a cualquier otra falla conocida por la comunidad ciberdelincuente en general.
Además de aplicar parches, tener un firewall fuerte, así como una solución de seguridad cibernética, ayudará a defenderse contra cualquier intento de implementación de malware.
Los dispositivos Linux, tan extendidos como están, son un objetivo popular para los actores de amenazas que buscan crear y expandir una red de bots. Todo, desde enrutadores hasta cámaras domésticas y dispositivos domésticos inteligentes, puede usarse como un bot e implementarse en ataques distribuidos de denegación de servicio.
Vía: BleepingComputer (se abre en una pestaña nueva)