Una versión de Mirai, llamada IZ1H9, se ha convertido en la variante dominante de la temida botnet, infectando innumerables dispositivos Linux y usándolos para diferentes propósitos nefastos.
Según Unit 42, el brazo de ciberseguridad de Palo Alto Networks, que ha estado rastreando IZ1H9 desde agosto de 2018, cuyos investigadores revelaron que desde noviembre de 2021, un solo actor de amenazas ha estado implementando activamente la variante.
La campaña solo se detectó a mediados de abril de este año y, entre otras cosas, el actor de amenazas se dirigía a los puntos finales que ya estaban infectados con Mirai, borrando iteraciones anteriores para mantener solo IZ1H9.
Red de bots Mirai
“El malware también contiene una función que garantiza que el dispositivo ejecute solo una instancia de este malware. Si ya existe un proceso de botnet, el cliente de botnet finalizará el proceso actual y comenzará uno nuevo”, explicaron los investigadores. El malware viene con una lista de procesos que pertenecen no solo a otras familias de botnets, sino también a otras variantes de Mirai. Si encuentra estos procesos ejecutándose en el dispositivo, los terminará.
IZ1H9 inicialmente se propaga a través de los protocolos HTTP, SSH y Telnet, agregaron los investigadores, y dijeron que la mejor protección es mantener los dispositivos Linux parcheados y actualizados.
“Para combatir esta amenaza, se recomienda encarecidamente que se apliquen parches y actualizaciones cuando sea posible”, concluyeron los investigadores.
Las botnets como esta generalmente se usan para montar ataques de denegación de servicio distribuido (DDoS). DDoS es una de las formas de ataque más populares que existen y funciona haciendo que una herramienta o servicio (como, por ejemplo, un sitio web) sea inaccesible. En un ataque DDoS, el atacante inundaría el servidor de destino con tanto tráfico falso que el servidor no podría manejarlo y eventualmente se obstruiría.
Para obtener ese tipo de tráfico, el atacante necesitará innumerables dispositivos (como dispositivos IoT de Linux, por ejemplo) para enviar paquetes de tráfico a la misma dirección.
Vía: Revista Infoseguridad