Nueva Versión de Botnet Mirai Ataca Routers Industriales con Exploits

Una nueva amenaza cibernética está poniendo en jaque la seguridad de routers industriales y dispositivos conectados en entornos críticos. Se trata de una variante más sofisticada del temido botnet Mirai, que ha comenzado a aprovechar vulnerabilidades zero-day para infiltrarse en redes corporativas y controlar dispositivos IoT (Internet de las Cosas). Esta técnica de ataque está dirigida a infraestructuras esenciales, como fábricas, plantas de energía y redes de telecomunicaciones, poniendo en riesgo servicios vitales para millones de personas.

Desde noviembre de 2024, se ha detectado cómo esta nueva botnet utiliza exploits zero-day para atacar routers industriales y dispositivos inteligentes de diversas marcas. Una de las vulnerabilidades más preocupantes es la CVE-2024-12856, que afecta a los routers industriales Four-Faith, descubierta a finales de diciembre por el equipo de VulnCheck. Sin embargo, los atacantes ya habían comenzado a explotarla días antes, en un claro indicio de que estos ataques fueron planeados con precisión.

Además de esta vulnerabilidad, los investigadores han identificado otros exploits personalizados utilizados para atacar routers de Neterbit y dispositivos inteligentes de Vimar, lo que demuestra que los ciberdelincuentes están ampliando su rango de objetivos.

El Perfil de esta Botnet: Una amenaza que sigue creciendo

Esta botnet no se queda solo con exploits conocidos. También ha desarrollado exploits personalizados para aprovechar fallos en routers Neterbit y dispositivos domésticos inteligentes de la marca Vimar, lo que demuestra que los atacantes están afinando sus herramientas para comprometer más dispositivos.

Fue detectada por primera vez en febrero del año pasado y, hasta la fecha, sigue activa con alrededor de 15.000 dispositivos infectados diariamente (también llamados nodos de bot). Lo preocupante es que esta botnet ha conseguido un alcance global, con la mayoría de los dispositivos comprometidos ubicados en China, Estados Unidos, Rusia, Turquía e Irán.

¿Y cuál es su objetivo principal? Lanzar ataques DDoS (denegación de servicio distribuido) contra blancos específicos para generar ganancias económicas. Básicamente, los operadores de esta botnet alquilan su "ejército de bots" a otros ciberdelincuentes que quieren tumbar sitios web, servicios en línea o incluso redes corporativas completas. Los ataques parecen haberse intensificado en los últimos meses de 2024, alcanzando su pico en octubre y noviembre, y afectando a cientos de objetivos diariamente.

Países destinatarios (Fuente: X Lab)

Podría interesarte leer:  Principales Historias de Ciberseguridad y Ciberataques de 2024

¿Cómo funciona este malware? Los dispositivos en la mira

Este malware no discrimina a la hora de infectar. Utiliza una mezcla de exploits públicos y privados para aprovechar más de 20 vulnerabilidades diferentes en dispositivos conectados a Internet. ¿Su objetivo? Propagarse lo más rápido posible a una lista bastante amplia de equipos que incluyen routers domésticos e industriales, DVRs y dispositivos inteligentes del hogar.

¿A qué dispositivos apunta específicamente? Aquí tienes la lista:

1. Routers ASUS: Usando exploits conocidos (también llamados exploits N-day).
   
   
2. Routers Huawei: Aprovechando la vulnerabilidad CVE-2017-17215, que sigue siendo un blanco fácil en muchos modelos sin actualizar.
   
   
3. Routers Neterbit: Con un exploit personalizado desarrollado por los atacantes.
   
   
4. Routers LB-Link: Usando la vulnerabilidad CVE-2023-26801 para acceso remoto.
   
   
5. Routers industriales Four-Faith: Aprovechando un zero-day (vulnerabilidad desconocida) identificado como CVE-2024-12856.
   
   
6. Cámaras PTZ (Pan-Tilt-Zoom): A través de dos vulnerabilidades recientes, CVE-2024-8956 y CVE-2024-8957.
   
   
7. DVR Kguard: Vulnerables a exploits específicos para estos dispositivos.
   
   
8. DVR Lilin: Aprovechando exploits que permiten la ejecución remota de código (RCE).
   
   
9. DVR genéricos: Usando exploits como TVT editBlackAndWhiteList RCE para comprometer estos dispositivos.
   
   
10. Dispositivos domésticos inteligentes Vimar: Aunque no se ha revelado la vulnerabilidad específica, los atacantes probablemente usan un exploit no divulgado.
    
    
11. Dispositivos 5G/LTE: Probablemente comprometidos por credenciales débiles o configuraciones incorrectas.
    
    

Pero la cosa no termina ahí. Esta botnet también es persistente y tiene algunos trucos bajo la manga para asegurar su control sobre los dispositivos infectados:

1. Ataques de fuerza bruta en Telnet: El malware intenta romper contraseñas débiles a través del protocolo Telnet, uno de los métodos más antiguos de acceso remoto. Si usas una contraseña genérica tipo "admin123", estás en problemas.
   
   
2. Empaquetamiento UPX personalizado: Esto le permite al malware mantenerse oculto y evitar ser detectado fácilmente por los antivirus.
   
   
3. Estructura de comando basada en Mirai: Heredado de la famosa botnet Mirai, el malware incluye un módulo que le permite actualizar dispositivos infectados, escanear redes para encontrar nuevos objetivos y lanzar ataques DDoS.

Volúmenes de ataques de botnets

Podría interesarte leer:  Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad

Los ataques DDoS que lanza esta botnet son breves pero muy intensos. Aunque solo duran entre 10 y 30 segundos, generan un volumen de tráfico enorme, superando los 100 Gbps. ¿Qué significa esto? Que incluso las infraestructuras más sólidas pueden verse afectadas por estos picos de tráfico, lo que podría causar interrupciones en servicios clave.

Los ataques no se limitan a un solo país o sector. Los objetivos están repartidos por todo el mundo y abarcan diferentes industrias. Según los investigadores, los países más afectados son China, Estados Unidos, Alemania, Reino Unido y Singapur, lo que refleja un alcance global y bien planificado por parte de los operadores de la botnet.

Lo preocupante es que esta botnet no solo sigue activa, sino que también mantiene un ritmo constante de infección, apuntando a una amplia variedad de dispositivos. Aprovecha tanto vulnerabilidades conocidas (de día n) como fallas zero-day, es decir, vulnerabilidades que los fabricantes aún no han identificado ni solucionado.

Conclusión

Entonces, ¿cómo protegerse? Los pasos son bastante simples pero efectivos. Primero, asegúrate de instalar las actualizaciones más recientes que ofrezca el fabricante del dispositivo. Si tienes habilitado el acceso remoto, desactívalo a menos que sea estrictamente necesario. Por último, pero no menos importante, cambia las contraseñas predeterminadas de tus dispositivos. Es increíble la cantidad de equipos que siguen usando credenciales genéricas como "admin" o "12345", lo que los convierte en blancos fáciles para los atacantes.

La clave está en no bajar la guardia, especialmente cuando se trata de dispositivos que suelen quedar olvidados en la red, como routers, cámaras de seguridad o dispositivos IoT. Una pequeña acción preventiva puede marcar la diferencia entre un dispositivo seguro y uno vulnerable.

En TecnetOne hacemos que la ciberseguridad y el cumplimiento sean simples y efectivos para tu empresa. Si quieres saber cómo proteger tus sistemas y evitar ser parte de una botnet, contáctanos y nuestro equipo de especialistas te asesorarán.