La nueva cepa de la 'botnet' Mirai se extiende a otros países

El 'malware' Mirai sigue propagándose por diversos países tras atribuirse diversos incidentes como el del pasado mes con los dispositivos IoT y los ataques masivos de denegación de servicio, y la infección de los router de Deutsche Telekom que afectó a un millón de clientes.

Mirai Botnet

Hace apenas dos días que se descubrió que el malware Mirai que había estado esclavizando dispositivos IoT mal protegidos, había encontrado una nueva víctima en Alemania. Diversos router de Internet de la compañía Deutsche Telekom se vieron afectados causando problemas de conexión a Internet a cerca de un millón de clientes de la operadora. En esta ocasión, Deutsche Telekom culpó al malware de la interrupción, el cual habría infectado a más de 500.000 dispositivos conectados a Internet, incluyendo cámaras de vigilancia y DVR.

Pues bien, ahora se sabe que la nueva cepa del malware Mirai ha ido mucho más allá, afectando a los router de otros países de Reino Unido, Brasil, Irán y Tailandia, entre otros. Investigadores de la firma de seguridad Flashpoint estiman que se habría extendido a otros 10 países más. Todavía no está claro cuántos dispositivos en total se han visto infectados, pero la compañía calcula que hasta cinco millones de dispositivos son vulnerables. De hecho, si estos dispositivos vulnerables se ven comprometidos, podrían añadir muchos más alcanzando ya una botnet.

Las alarmas saltaron en Alemania el pasado lunes cuando Deutsche Telekom informó que cerca de un millón de clientes experimentaron problemas de conexión a Internet. Aunque Deutsche Telekom ha ofrecido una actualización de software para detener el malware, los expertos en seguridad temen que los hackers continúen actualizando el código fuente de Mirai para infectar dispositivos adicionales que puedan estar conectados al router en los hogares.

La versión original de Mirai comenzó a sonar el pasado mes cuando logró dominar y someter a diversos dispositivos IoT con triviales medidas de seguridad. Esta nueva cepa, como ha podido comprobarse, fue capaz de infectar a los routers de la empresa Zyxel, utilizando un fallo de seguridad que se aprovecha del protocolo SOAP (Simple Object Access Protocol).  

El objetivo de Mirai no es otro que el de lograr formar una botnet numerosa, todo un ejército de dispositivos sometidos que son utilizados para lanzar ataques masivos de denegación de servicio que pueden llegar a colapsar servidores y servicios web. Ya a finales de octubre, las botnets de Mirai fueron las causantes de interrumpir el acceso a varias páginas web y servidores de Estados Unidos, alterando el tráfico de manera preocupante.

La compañía Flashpoint informa que ya se ha localizado esta nueva variedad de Mirai que es capaz de crear una botnet para lanzar ataques DDoS a pequeña escala en una dirección IP en continentes como África y a un proveedor de alojamiento en la nube. Los ataques sucedieron también esta misma semana. Los hackers han estado explotando el malware Mirai desde que su código fuente fue lanzado en un foro a finales de septiembre.

Sin embargo, la propagación de la nueva cepa Mirai parece estar disminuyendo, según Craig Young, un investigador de seguridad en Tripwire. El pasado lunes, el investigador estimó que el malware intentó infectar los dispositivos a una velocidad de 90 segundos por cada dispositivo. Al día siguiente, la tasa se había logrado frenar a algo más de seis minutos.

Young destaca que el ataque de Deutsche Telekom es en cierto sentido un fracaso. Los hackers probablemente nunca intentaron interrumpir las conexiones de Internet de los clientes de Deutsche Telekom, sino simplemente infectar los routers para hacer crecer la botnet, pero pasando desapercibido y sin despertar hacer saltar las alarmas.

La forma en que la cepa Mirai se hizo cargo de los routers llamó demasiado la atención, lo que provocó que la compañía alemana emitiera rápidamente un parche de seguridad. "El malware puede haber sido demasiado exigente con los routers, sobrecargándolos e impidiendo que puedan operar y dar conectividad”, destaca Young.

Es de esperar que los ciberdelincuentes sigan actualizando Mirai, modificando el código. También la gente incorporará más exploits relacionados con los router. 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper