La botnet Mirai vuelve a la acción junto a sus variantes

Mirai ha sido una amenaza constante para la seguridad de IoT desde su aparición en 2016. Informes recientes destacan el realce del malware y sus diversas variantes, atribuyéndosele el aumento de los ataques a los sistemas IoT y Linux en el primer trimestre de 2021. Lamentablemente, las variantes continúan creciendo: Desde el lanzamiento del código […]

Mirai ha sido una amenaza constante para la seguridad de IoT desde su aparición en 2016. Informes recientes destacan el realce del malware y sus diversas variantes, atribuyéndosele el aumento de los ataques a los sistemas IoT y Linux en el primer trimestre de 2021.

Lamentablemente, las variantes continúan creciendo: Desde el lanzamiento del código fuente por parte de los autores de Mirai, los actores de amenazas han provocado muchos ataques al crear sus propios tipos de ejércitos de botnets de IoT. Pero, aunque varios actores de amenazas han agregado constantemente nuevas características y exploits, la estructura y el objetivo de las campañas siguen siendo los mismos.

De hecho, investigadores de Fortinet se encontraron con muchos aspectos interesantes durante el curso del seguimiento de las actividades de las botnets de IoT: Se descubrió que un nuevo sistema de honeypot utilizado para este propósito recibió alrededor de 200 ataques por día, lo que suma casi 4.700 ataques en solo tres semanas.

Unos 4.000 de esos ataques estaban relacionados con variantes de Mirai.
Según los ataques, las principales variantes utilizadas fueron Hajime, SYLVEON, Kyton, PEDO, DNXFCOW, SORA, Cult, BOTNET, OWARI y Ecchi.
Aparte del honeypot, los investigadores también encontraron MANGA, una variante de Mirai, actualizando activamente los vectores de explotación en su lista. Algunas de las vulnerabilidades son para las vulnerabilidades encontradas en OptiLink ONT1GEW GPON, Cisco HyperFlex y el enrutador Tenda.

Según AT&T Alien Labs, ha habido un aumento en la actividad de otra variante de Mirai, Moobot. Resulta que estaba siendo expulsado de un nuevo dominio de malware cibernético subterráneo, conocido como Cyberium, que ha estado anclando una gran cantidad de actividad variante de Mirai.

Los investigadores observaron que Moobot está buscando activamente una vulnerabilidad de ejecución remota de código en los enrutadores Tenda.
Una de las principales características de Moobot es una cadena codificada que se usa varias veces en el código, como generar el nombre del proceso que se usará durante la ejecución.