Una nueva versión del botnet Mirai, que está atacando globalmente a dispositivos del Internet de las Cosas (IoT), fue detectado por expertos del Global Research and Analysis Team (GReAT) de Kaspersky. Simultáneamente, la empresa advirtió que se contabilizaron 1.700 millones de intentos de ataques a nivel global contra dispositivos IoT conectados, los cuales provienen de 858.520 dispositivos comprometidos. Esta información abarca diversas amenazas dirigidas a IoT, incluyendo a Mirai. Las naciones que presentaron la mayor cantidad de dispositivos infectados fueron Brasil, China, Egipto, India, Turquía y Rusia.
Para comprender el funcionamiento de estos ataques a dispositivos IoT, Kaspersky implementó señuelos digitales denominados honeypots, los cuales son dispositivos trampa creados para atraer a los hackers y observar su conducta en tiempo real. A través de estas herramientas, los expertos identificaron que los cibercriminales explotan vulnerabilidades en el sistema de seguridad para introducir un software dañino (bot) que transforma los dispositivos en componentes de una red comprometida, conocida como botnet Mirai. Estas redes permiten a los delincuentes llevar a cabo operaciones masivas, ya que están compuestas por dispositivos infectados que realizan actividades dañinas de manera automatizada.
En esta ocasión, el objetivo principal de los asaltos fue infiltrarse en grabadoras de video digitales (DVRs), dispositivos cruciales para la vigilancia y seguridad en hogares, negocios, aeropuertos, fábricas y centros educativos. Atacarlos no solo amenaza la privacidad, sino que también puede actuar como un acceso a redes más extensas, facilitando la difusión de malware y permitiendo llevar a cabo ataques de denegación de servicio distribuido (DDoS), que implican abrumar un sistema o página web con tanto tráfico que deja de operar de manera adecuada. Este tipo de agresiones ya se han observado en anteriores campañas vinculadas al botnet Mirai.
El bot encontrado en los DVR incorpora métodos para eludir los ambientes de máquinas virtuales o emuladores, que suelen ser utilizados por los analistas para estudiar el malware. Estas estrategias posibilitan que el bot pase desapercibido, funcionando de forma más sigilosa y extendiendo su tiempo en los aparatos comprometidos.
Según explica Anderson Leite, investigador de seguridad del equipo GReAT de Kaspersky, “el código fuente del botnet Mirai fue publicado en internet hace casi una década. Desde entonces, ha sido adaptado y modificado por distintos grupos de cibercriminales para crear redes de bots a gran escala, enfocadas principalmente en ataques DDoS y secuestro de recursos. El uso de fallas de seguridad conocidas en servidores y dispositivos IoT sin parches, junto con la amplia presencia de este malware diseñado para sistemas Linux, hace que miles de bots estén constantemente escaneando internet en busca de nuevos objetivos. Al analizar fuentes públicas, identificamos más de 50.000 dispositivos DVR expuestos online, lo que muestra que los atacantes tienen muchas oportunidades para explotar equipos vulnerables”.
Desde Karspersky brindan los siguientes consejos para reducir el riesgo de infección en dispositivos IoT:
• Cambiar las credenciales predeterminadas: Emplear contraseñas seguras y únicas en lugar de las que vienen por defecto.
• Actualizar constantemente el firmware: Mantener actualizados los DVRs y otros dispositivos IoT para corregir vulnerabilidades conocidas.
• Desactivar el acceso remoto innecesario: Si no es primordial, desactívalo. De lo contrario, usa VPNs seguras para la administración remota.
• Aislar en redes separadas los DVRs: Distribuir estos dispositivos en redes dedicadas para acotar el alcance de un posible ataque.
• Monitorear el tráfico de red: Estar atento a comportamientos anómalos que puedan dar señas de una posible infección.
