Las amenazas cibernéticas evolucionan constantemente, planteando nuevos retos para individuos y organizaciones. Recientemente, un nuevo actor ha emergido en este escenario: el botnet OracleIV. En este artículo nos adentraremos en la naturaleza de esta amenaza, sus implicaciones y cómo podemos protegernos contra ella.
Las APIs de Docker Engine de acceso público se están viendo comprometidas por ciberdelincuentes como parte de una campaña orientada a reclutar estas máquinas en una botnet de DDoS llamada OracleIV. Según expertos en seguridad, los atacantes están explotando configuraciones incorrectas para distribuir un contenedor Docker malicioso. Este contenedor, creado a partir de una imagen denominada "oracleiv_latest", contiene malware Python transformado en un ejecutable ELF.
Te podría interesar leer: Entendiendo y Mitigando Ataques DDoS
El proceso malintencionado comienza cuando los atacantes envían una solicitud HTTP POST a la API de Docker. Esta solicitud recupera una imagen dañina de Docker Hub y ejecuta un comando para descargar un script de shell ("oracle.sh") desde un servidor de comando y control (C&C). La imagen "oracleiv_latest" se disfraza como una imagen de MySQL para Docker, y hasta la fecha, ha sido descargada más de 3500 veces. Curiosamente, esta imagen también incluye instrucciones para descargar un minero XMRig y su configuración del mismo servidor.
A pesar de esto, una firma de seguridad en la nube señaló que no ha detectado evidencia de minería de criptomonedas por parte del contenedor falso. El script de shell es conciso y cuenta con funciones diseñadas para ejecutar ataques DDoS como Slowloris, inundaciones SYN y UDP. Las instancias expuestas de Docker se han convertido en un blanco atractivo para ataques en los últimos años, frecuentemente usadas en campañas de criptojacking.
Te podrá interesar leer más sobre: Ataques de Cryptojacking: Protección de Recursos
"Una vez que se identifica un endpoint válido, es muy fácil extraer una imagen maliciosa y lanzar un contenedor para cualquier propósito malicioso imaginable", explicaron investigadores. "Hospedar el contenedor malicioso en Docker Hub facilita aún más este proceso". No se limita solo a Docker, ya que los servidores MySQL vulnerables también han sido objetivo del malware botnet DDoS chino conocido como Ddostf, informó el Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC).
"Aunque la mayoría de los comandos de Ddostf son similares a los de los bots DDoS típicos, una característica distintiva es su capacidad para conectarse a una nueva dirección del servidor C&C y ejecutar comandos allí durante un tiempo determinado", señaló ASEC. "En este nuevo servidor C&C solo se pueden ejecutar comandos DDoS. Esto sugiere que el actor de amenaza Ddostf podría infectar numerosos sistemas y luego ofrecer ataques DDoS como un servicio".
Además, se ha observado la aparición de varias nuevas botnets DDoS como hailBot, kiraiBot y catDDoS, basadas en Mirai, cuyo código fuente se filtró en 2016. "Estos Troyanos recién desarrollados introducen nuevos algoritmos de cifrado para ocultar información vital o se camuflan mejor modificando el proceso de arranque y diseñando métodos de comunicación más encubiertos", reveló la empresa de ciberseguridad NSFOCUS el mes pasado.
Te podrá interesar leer: Origen de botnets: Variantes Mirai - HailBot, KiraiBot, CatDDoS
Otro malware DDoS que ha resurgido este año es XorDdos, que ataca dispositivos Linux y "los convierte en zombis" para lanzar ataques DDoS. La Unidad 42 de Palo Alto Networks informó que la campaña comenzó a finales de julio de 2023, alcanzando su pico cerca del 12 de agosto de 2023.
"Antes de que el malware se infiltre con éxito en un dispositivo, los atacantes inician un proceso de escaneo utilizando solicitudes HTTP para identificar posibles vulnerabilidades en sus objetivos", indicó la compañía. "Para evadir la detección, la amenaza transforma su proceso en un servicio de fondo que opera independientemente de la sesión de usuario actual".
Protegerse contra amenazas como OracleIV requiere una estrategia de seguridad cibernética robusta. Esto incluye:
Actualizaciones Regulares: Mantener el software y los dispositivos actualizados es crucial para protegerse contra las vulnerabilidades explotadas por estos ataques.
Seguridad de Red: Implementar firewalls y sistemas de detección y prevención de intrusiones puede ayudar a identificar y bloquear tráfico malicioso.
Concienciación y Capacitación: Educar a los trabajadores y usuarios sobre los riesgos y las mejores prácticas de seguridad puede prevenir la propagación de malware.
Respuesta a Incidentes: Tener un plan de respuesta a incidentes puede minimizar el daño en caso de un ataque y acelerar la recuperación.
Colaboración con Proveedores de Servicios de Internet (ISP): Trabajar con ISPs puede ayudar a mitigar ataques DDoS a gran escala.
Te podrá interesar leer: Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad
El botnet OracleIV representa una amenaza significativa en el ámbito de la seguridad cibernética. Su capacidad para ejecutar ataques DDoS potentes y disruptivos lo convierte en un desafío formidable para individuos y organizaciones. Sin embargo, con las medidas de seguridad adecuadas, la concienciación y la colaboración constante, es posible mitigar su impacto y proteger nuestros activos digitales.
La aparición de OracleIV subraya la importancia de una seguridad cibernética proactiva y adaptativa. En un mundo cada vez más conectado, la vigilancia y la preparación son clave para navegar en un paisaje digital lleno de amenazas emergentes y en evolución.
La seguridad en Internet es una responsabilidad compartida, y enfrentar amenazas como OracleIV requiere un esfuerzo conjunto de individuos, empresas y gobiernos. Al mantenerse informados, actualizados y colaborativos, podemos esperar no solo resistir, sino también adelantarnos a las amenazas del futuro en el ciberespacio.