- Los investigadores han descubierto una gran cantidad de puntos finales vulnerables a los que apunta una nueva versión de Mirai
- Los puntos finales están integrados en una botnet y se utilizan para ataques DDoS.
- Las vulnerabilidades utilizadas en el ataque tienen años
Mirai, una notoria botnet dirigida a dispositivos de Internet de las cosas (IoT) para su uso en ataques distribuidos de denegación de servicio (DDoS), recibió una nueva versión que ahora apunta a múltiples dispositivos vulnerables, advirtieron los expertos.
Según se informa, el malware se dirige a los NVR DigiEver DS-2105 Pro, varios enrutadores TP-Link con firmware desactualizado y enrutadores Teltonika RUT9XX. Para DigiEver, Mirai explota una vulnerabilidad de ejecución remota de código (RCE) sin parches que ni siquiera tiene un número de seguimiento.
Para TP-Link, Mirai explota CVE-2023-1389, y para Teltonika, utiliza CVE-2018-17532. Vale la pena señalar que el defecto de TP-Link tiene un año, mientras que Teltonika tiene aproximadamente seis años. Esto significa que los estafadores se dirigen principalmente a organizaciones con prácticas de remediación y seguridad cibernética deficientes.
Mirai es una amenaza activa.
La campaña aparentemente comenzó en septiembre u octubre de 2024 y, según investigadores de Akamai, utiliza cifrado XOR y ChaCha20 y apunta a varias arquitecturas de sistemas, incluidas ARM, MIPS y x86.
“Si bien el uso de métodos complejos de descifrado no es nuevo, sugiere tácticas, técnicas y procedimientos en evolución entre los operadores de botnets basados en Mirai”, dijo Akamai.
“Esto es particularmente notable porque muchas botnets basadas en Mirai todavía dependen de la lógica de ofuscación de cadenas original del código reciclado que se incluyó en la versión original del malware Mirai”.
Los expertos de Juniper Research advirtieron recientemente que los operadores de Mirai están buscando enrutadores Session Smart fáciles de comprometer.
“El miércoles 11 de diciembre de 2024, varios clientes informaron sobre comportamientos sospechosos en sus plataformas Session Smart Network (SSN)”, dijo Juniper en su aviso de seguridad.
Los investigadores también informaron recientemente que los ciberdelincuentes están explotando una falla en la AVM1203, un modelo de cámara de vigilancia diseñado y vendido por el fabricante taiwanés AVTECH, para secuestrar los puntos finales e incrustarlos en la botnet Mirai.
a través de pitidocomputadora