Nueva Botnet Inspirada en Mirai Amenaza Infraestructura en México

Una nueva variante de la botnet Mirai ha sido detectada, y está causando estragos con ataques DDoS a gran escala en más de 85 países. Esta botnet, que combina el código fuente de Mirai con técnicas más avanzadas, se está convirtiendo rápidamente en una amenaza global de cuidado.

De acuerdo con la unidad de investigación de SILIKN, desde agosto de 2024, se han reportado miles de ataques DDoS masivos que afectan a infraestructuras críticas en distintos países, incluyendo México. Con un promedio de 18,000 ataques diarios, los objetivos principales han sido agencias gubernamentales, universidades, empresas de telecomunicaciones, bancos y hasta plataformas de videojuegos.

Ya desde julio de 2023, se había advertido sobre el alto riesgo que enfrentan diversas dependencias gubernamentales, especialmente aquellas que usan servidores Apache Tomcat mal configurados. Estas vulnerabilidades han sido explotadas no solo para expandir la botnet, sino también para diseminar malware y mineros de criptomonedas, lo que agrava aún más la situación.

Algunas de las instituciones que se han visto afectadas por esta nueva botnet incluyen:

1. Instituto de Planeación del Estado de Nayarit
   
   
2. Cita Verificación Vehicular del Estado de México
   
   
3. Unidad del Sistema para la Carrera de las Maestras y Maestros
   
   
4. Buzón Ciudadano de la Secretaría de la Contraloría del Estado de Morelos
   
   
5. INEA Tabasco (Instituto de Educación para Adultos)
   
   
6. Instituto de la Función Registral del Estado de México (IFREM)
   
   
7. Instituto Nacional de Antropología e Historia (INAH)
   
   
8. Catálogo Estatal de Trámites y Servicios del Gobierno de Michoacán
   
   
9. Centro de las Artes de San Luis Potosí
   
   
10. Comisión Nacional para el Conocimiento y Uso de la Biodiversidad (CONABIO)
    
    
11. Secretaría de Desarrollo Urbano y Vivienda de la Ciudad de México
    
    
12. Sistema Anticorrupción de Quintana Roo (SESAEQROO)
    
    
13. Centro Nacional de Prevención de Desastres (CENAPRED)
    
    
14. Procuraduría Federal de Protección al Ambiente
    
    
15. Poder Judicial del Estado de Morelos
    
    
16. Banobras (Banco Nacional de Obras y Servicios Públicos)
    
    
17. Instituto Mexicano de la Propiedad Industrial (IMPI)
    
    
18. Sistema de Información de la Secretaría de Salud
    
    
19. Secretaría de Educación Pública de Hidalgo
    
    
20. Servicios de Salud de San Luis Potosí
    
    
21. Secretaría de Medio Ambiente y Recursos Naturales
    
    
22. Gobierno Municipal de Acayucan, Veracruz

Conoce más sobre:  Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad

Características de la Nueva Botnet Inspirada en Mirai

Esta nueva botnet, inspirada en el infame malware Mirai, se ha convertido en un gran dolor de cabeza debido a su capacidad de operar de manera silenciosa y efectiva. Aprovecha dispositivos IoT (como cámaras, routers y otros equipos conectados a Internet) comprometidos, utilizando esta enorme red para lanzar ataques DDoS que saturan los sistemas objetivo con tráfico, dejando a los usuarios sin acceso y las redes bajo presión.

Esta botnet es especialmente peligrosa por su capacidad para usar cifrado, lo que oculta información clave y permite a los atacantes mantener el control de los dispositivos infectados durante más tiempo sin ser detectados fácilmente. Además, al ser compatible con varias arquitecturas de CPU, puede atacar una amplia gama de dispositivos, lo que la hace aún más versátil.

La botnet se coordina a través de una red distribuida de servidores de comando y control (C&C), lo que le permite ejecutar diferentes tipos de ataques DDoS, como UDP Flood, ACK Bypass Flood y VSE Flood. También utiliza protocolos como UDP para falsificar direcciones IP, lo que hace que rastrear su origen sea una tarea bastante complicada.

Otra cosa que la hace realmente difícil de combatir es su persistencia. La botnet explota vulnerabilidades como las fallas en Apache Hadoop YARN RPC y se asegura de instalar servicios que se inician automáticamente con el sistema, lo que significa que incluso si detectas la infección, eliminarla no será tan sencillo.

Te podrá interesar leer: Nuevo Phishing Dirigido a Usuarios de Telefonía en México

¿Qué es la botnet Mirai?

La botnet Mirai está formada por miles de dispositivos IoT (Internet de las Cosas) que han sido infectados por un malware. Este malware busca y se infiltra en dispositivos usando las contraseñas predeterminadas que traen de fábrica, aprovechándose de la falta de medidas de seguridad. Una vez infectados, estos dispositivos se convierten en parte de una red masiva que puede lanzar ataques DDoS (denegación de servicio), saturando servidores y bloqueando el acceso a los usuarios legítimos.

Lo curioso de Mirai es que no solo infecta dispositivos, sino que también elimina cualquier otro malware que ya esté presente, asegurándose de ser el único controlando el dispositivo. En sus primeras etapas, se estimaba que la botnet tenía unos 50,000 dispositivos comprometidos, pero ese número rápidamente creció a 100,000, luego a 150,000, y algunos expertos creen que actualmente podría haber hasta medio millón de dispositivos infectados.

El impacto de los ataques DDoS

Los ataques DDoS lanzados por Mirai y otras botnets similares pueden tener consecuencias devastadoras. No solo interrumpen servicios críticos, sino que también generan enormes pérdidas económicas para las empresas afectadas. Para los usuarios, la frustración de no poder acceder a sitios web o servicios es solo la punta del iceberg; detrás de escena, las organizaciones luchan por mitigar estos ataques que pueden durar horas o incluso días.

En México, se han identificado casi 3,000 direcciones IP vinculadas a actividades maliciosas asociadas a la botnet Mirai. Entre ellas, algunas de las más activas y peligrosas incluyen:

1. 187.192.198.65
2. 189.147.224.253
3. 187.133.150.234
4. 189.173.160.174
5. 187.158.229.220
6. 189.250.150.193
7. 189.181.50.191
8. 187.204.30.138
9. 187.168.209.176

Y la lista sigue, lo que demuestra la magnitud del problema y la necesidad urgente de reforzar la ciberseguridad a nivel nacional.

¿Cómo protegerse?

Las botnets como Mirai siguen evolucionando y representan una amenaza real para las infraestructuras críticas. Entonces, ¿qué podemos hacer al respecto?

1. Cambiar las contraseñas predeterminadas: Este es un paso básico pero esencial. Asegúrate de que cualquier dispositivo conectado a Internet (cámaras, routers, dispositivos IoT) tenga una contraseña segura y única.

2. Actualizar el firmware: Mantén los dispositivos IoT actualizados con las últimas versiones de firmware para evitar que se exploten vulnerabilidades conocidas.

3. Monitoreo del tráfico de red: Las empresas pueden implementar soluciones que detecten comportamientos anómalos en sus redes. Las herramientas de monitoreo pueden ayudar a identificar posibles ataques DDoS antes de que causen daños graves.

4. Soluciones de seguridad avanzadas: Firewalls, sistemas de detección de intrusiones (IDS), protección DDoS basada en la nube, y la implementación de un SOC (Centro de Operaciones de Seguridad) son medidas clave. Un SOC centraliza la detección, análisis y respuesta a incidentes de seguridad, lo que permite una vigilancia constante de la red y una capacidad de reacción rápida ante cualquier amenaza. Tener un SOC es esencial para empresas que manejan infraestructuras críticas o datos sensibles, ya que proporciona una visión global de los eventos en tiempo real, garantizando que cualquier actividad sospechosa se detecte y neutralice de inmediato.

5. Segmentar redes: Dividir las redes en secciones más pequeñas ayuda a limitar el impacto en caso de una infección, evitando que un ataque se propague fácilmente a todos los dispositivos conectados.

Estas medidas combinadas forman una estrategia sólida que no solo protege contra las botnets actuales, sino que también fortalece la seguridad frente a amenazas futuras.