- Investigadores chinos descubrieron una versión de Mirai con un nombre ofensivo
- Se dirige a enrutadores industriales y dispositivos domésticos inteligentes con fallas de día cero, configuraciones incorrectas y contraseñas incorrectas.
- Se encontraron alrededor de 15.000 direcciones IP activas
Recientemente, se observó una nueva botnet maliciosa, que se propagó a través de vulnerabilidades de día cero y enrutadores industriales integrados y dispositivos domésticos inteligentes.
Los investigadores de ciberseguridad del equipo chino Qi’anxin XLab dicen que la botnet se basa en Mirai, un notorio malware conocido por estar detrás de algunos de los ataques de denegación de servicio distribuido (DDoS) más grandes y destructivos.
Sin embargo, las nuevas versiones son muy diferentes del Mirai original, ya que abusan de más de 20 vulnerabilidades y apuntan a contraseñas Telnet débiles, como medio de propagación y distribución. Algunas de las vulnerabilidades nunca se habían visto antes y aún no se les han asignado CVE. Entre ellos se encuentran errores en los enrutadores Neterbit y en los dispositivos domésticos inteligentes de Vimar.
ataques intensos
Los investigadores también observaron el uso de CVE-2024-12856 para infectar dispositivos. Esta es una vulnerabilidad de inyección de comandos de alta gravedad (7.2/10) que se encuentra en los enrutadores industriales Four-Faith.
La botnet se llama “gayfemboy” y aparentemente tiene alrededor de 15.000 direcciones IP activas ubicadas en EE. UU., Turquía, Irán, China y Rusia. La botnet se dirige principalmente a estos dispositivos, por lo que si está ejecutando uno de ellos, busque indicadores de. compromiso.
Enrutadores ASUS, enrutadores Huawei, enrutadores Neterbit, enrutadores LB-Link, enrutadores industriales Four Faith, cámaras PZT, Kguard DVR, Lilin DVR, DVR genéricos, dispositivos domésticos inteligentes Vimar y otros dispositivos 5G/LTE con configuraciones incorrectas o certificados débiles.
Quien esté detrás de esta botnet tampoco está perdiendo el tiempo. Desde febrero del año pasado, ha estado ejecutando varios ataques DDoS, registrándose el máximo rendimiento en octubre y noviembre de 2024. Los objetivos se encuentran principalmente en China, EE. UU., Reino Unido, Alemania y Singapur.
Los ataques suelen durar entre 10 y 30 segundos y son bastante intensos, superando los 100 Gbps de tráfico, lo que puede alterar incluso las infraestructuras más sólidas.
“Los objetivos de los ataques están en todo el mundo y se distribuyen en diferentes industrias”, dijeron los investigadores. “Los principales objetivos de los ataques se distribuyen en China, Estados Unidos, Alemania, Reino Unido y Singapur”, concluyeron.
a través de pitidocomputadora
