Pink, la botnet que ha infectado a más 1.6 millones de dispositivos

Investigadores informaron recientemente sobre una campaña DDoS masiva que involucró a la botnet Pink, la cual ha infectado millones de dispositivos. De acuerdo a los informes, esta botnet se posiciona como una de las más grandes a nivel global.

La botnet se denominó PINK según una muestra obtenida en noviembre de 2019, que contenía una gran cantidad de nombres de funciones que comenzaban con «Pink».

Cuando estaba en su apogeo, la botnet Pink había afectado a más de 1.6 millones de dispositivos -con aproximadamente el 96% de los dispositivos en China-.

Se ha utilizado para lanzar más de 100 ataques DDoS hasta la fecha.
Además de eso, los actores insertan anuncios en sitios web HTTP para llegar a usuarios desprevenidos. Con una arquitectura robusta, Pink apunta principalmente a enrutadores de fibra basados ​​en MIPS.

Si bien la mayoría de los dispositivos se han corregido y restaurado, se dice que la botnet todavía está activa con casi 100.000 nodos.

Los delincuentes utilizaron una combinación de servicios de terceros, como P2P, GitHub y C2 centrales para sus bots para controlar las comunicaciones.
Para mantener el control sobre los dispositivos infectados, a pesar de que el proveedor hizo repetidos intentos de solucionar el problema, los actores realizaron varias actualizaciones en tiempo real en los enrutadores de fibra. Pink también adoptó DNS-Over-HTTPS (DoH).

La forma en que los actores maliciosos aprovechan las amenazas DDoS se ha transformado últimamente. Ahora también se utiliza como herramienta de respaldo para amenazar a las víctimas.

En las últimas dos semanas, las autoridades de EE. UU. Y el Reino Unido emitieron alertas contra campañas similares. La semana pasada, el FBI emitió una advertencia relámpago contra el grupo de ransomware HelloKitty que ahora amenaza con realizar ataques DDoS a sus víctimas que se niegan a pagar el rescate. Antes de esto, el Comms Council U.K advirtió a las empresas en el mercado de VoIP contra el aumento de las campañas coordinadas de extorsión DDoS por parte de grupos ciberdelincuentes internacionales.

Hubo ataques masivos en todo el mundo en las últimas semanas con adversarios que envolvieron y comprometieron algunas marcas y servicios de renombre.

El operador de telecomunicaciones de Corea del Sur, KT, sufrió un cierre temporal en todo el país a raíz de un ataque DDoS masivo en su red.
Según los informes, tres proveedores de correo electrónico, Runbox con sede en Noruega, Posteo con sede en Alemania y Fastmail con sede en Australia, sufrieron ataques DDoS a gran escala, y Posteo también enfrenta una demanda de rescate.

Por separado, el proveedor de VoIP del Reino Unido, Voipfone, y el proveedor de servidores de juegos Sparked también fueron testigos de ataques DDoS similares.

En septiembre, un ataque a Bandwidth.com paralizó a decenas de empresas al provocar cortes en todo el país de la instalación de VoIP.
Otro incidente notable del mes fue el ataque que involucró a la botnet Meris que comprometió una gran cantidad de enrutadores MikroTik.