Descubierta por primera vez en 2016, la red de bots Mirai se hizo cargo de un número sin precedentes de dispositivos y causó daños masivos a Internet. Ahora ha vuelto y es más peligroso que nunca.
El nuevo y mejorado Mirai está infectando más dispositivos.
El 18 de marzo de 2019, los investigadores de seguridad de Palo Alto Networks revelaron que Mirai ha sido modificado y actualizado para lograr el mismo objetivo a mayor escala. Los investigadores descubrieron que Mirai estaba usando 11 nuevas exportaciones (lo que eleva el total a 27), y una nueva lista de credenciales de administrador predeterminadas para probar. Algunos de los cambios se centran en el hardware empresarial, incluidos los televisores LG Supersign y los sistemas de presentación inalámbricos WiPG-1000 de WePresent.
Mirai puede ser aún más potente si puede hacerse cargo del hardware empresarial y controlar las redes empresariales. Como dice Ruchna Nigam, investigadora principal de amenazas de Palo Alto Networks:
Estas nuevas características confieren a la botnet una gran superficie de ataque. En particular, la selección de enlaces empresariales también le permite acceder a un mayor ancho de banda, lo que, en última instancia, se traduce en una mayor potencia de fuego para la red de bots en los ataques DDoS.
Esta variante de Miria sigue atacando a los routers, cámaras y otros dispositivos conectados a la red. Con fines destructivos, cuantos más dispositivos infectados, mejor. Irónicamente, la carga útil maliciosa estaba alojada en un sitio web que promocionaba un negocio que se ocupaba de la “Seguridad electrónica, integración y monitorización de alarmas”.
Mirai es una red de bots que ataca a los dispositivos IOT
Si no lo recuerdas, en 2016 la red de bots Mirai parecía estar en todas partes. Apunta a enrutadores, sistemas DVR, cámaras IP y más. A menudo se denominan dispositivos de la Internet de los objetos (IO) e incluyen dispositivos sencillos como termostatos que se conectan a Internet. Las redes de bots infectan grupos de ordenadores y otros dispositivos conectados a Internet y luego obligan a los equipos infectados a atacar sistemas o a trabajar en otros objetivos de forma coordinada.
Mirai fue tras los dispositivos con credenciales de administrador predeterminadas, ya sea porque nadie los cambió o porque el fabricante los codificó. La red de bots se hizo cargo de un gran número de dispositivos. Incluso si la mayoría de los sistemas no eran muy potentes, los meros números funcionaban juntos para conseguir más de lo que un potente ordenador zombi podría por sí solo.
Mirai se apoderó de casi 500.000 dispositivos. Usando esta botnet agrupada de dispositivos IoT, Mirai paralizó servicios como Xbox Live y Spotify y sitios web como BBC y Github al dirigirse directamente a los proveedores de DNS. Con tantas máquinas infectadas, Dyn (un proveedor de DNS) fue derribado por un ataque de DDOS que vio 1.1 terabytes de tráfico. Un ataque DDOS funciona inundando a un objetivo con una cantidad masiva de tráfico de Internet, más de lo que el objetivo puede manejar. Esto hará que el sitio web o el servicio de la víctima se arrastre o que sea expulsado por completo de Internet.
Los creadores originales del software Marai botnet fueron arrestados, declarados culpables y puestos en libertad condicional. Por un tiempo, Mirai fue cerrado. Pero sobrevivió suficiente del código como para que otros actores malos tomaran el control de Mirai y lo modificaran para que se ajustara a sus necesidades. Ahora hay otra variante de Mirai ahí fuera.
Cómo protegerse de Mirai.
Mirai, al igual que otras redes de bots, utiliza exploits conocidos para atacar dispositivos y comprometerlos. También intenta utilizar las credenciales de inicio de sesión predeterminadas conocidas para trabajar en el dispositivo y hacerse cargo de él. Así que sus tres mejores líneas de protección son directas.
Siempre actualice el firmware (y el software) de cualquier cosa que tenga en su casa o lugar de trabajo que pueda conectarse a Internet. El hacking es un juego de gato y ratón, y una vez que un investigador descubre una nueva hazaña, se aplican parches para corregir el problema. Las redes de bots como ésta prosperan en dispositivos sin parches, y esta variante de Mirai no es diferente. Las hazañas dirigidas al hardware de la empresa se identificaron el pasado mes de septiembre y en 2017.
