Articles

La nueva botnet de IoT ofrece DDoSes de tamaños una vez inimaginables para $20

La nueva botnet IoT ofrece DDoSes de tamaños antes inimaginables para $20

Los organizadores de una nueva red de bots compuesta por enrutadores domésticos y de oficinas pequeñas infectados están vendiendo descaradamente ataques de denegación de servicio de volúmenes que antes eran inimaginables por solo 2 20 por objetivo.

Autodenominado Los Calvos de San Calvicie, el grupo está anunciando varios servicios en este sitio. Entre los servicios se encuentran los ataques de denegación de servicio distribuidos de 290 a 300 gigabits por segundo por $20 cada uno. Aunque un tercio del tamaño de algunos de los ataques más grandes registrados, 290 Gbps sigue siendo suficiente para derribar la mayoría de los sitios a menos que busquen servicios de mitigación de ataques DDoS, que en muchos casos cuestan cantidades considerables de dinero. Hace solo cinco años, 300 Gbps se consideraba un volumen suficiente para apagar la infraestructura central de Internet.

Los miembros de Los Calvos de San Calvicie han sido vistos montando una red de bots en los últimos días que muy posiblemente tenga la potencia de fuego requerida para entregar los potentes ataques prometidos. Según Pascal Geenens, investigador de la empresa de seguridad Radware, el grupo está construyendo la red de bots explotando dos vulnerabilidades: una en los routers RealTek que ejecutan firmware desactualizado y la otra en el enrutador Huawei HG532, donde muchos usuarios aún no han instalado un parche lanzado en diciembre. Ambas vulnerabilidades también son explotadas por una red de bots de Internet de las cosas diferente conocida como Satori.

A diferencia de la mayoría de las botnets de IoT vistas hasta ahora, la rastreada por Geenens, a la que llama JenX, usa un puñado en servidores que no son de IoT para escanear Internet en busca de dispositivos vulnerables y, una vez encontrados, explotarlos. Eso hace que sea mucho más difícil estimar el número de dispositivos infectados que componen JenX, porque los routers vulnerables simulados que Geenens usa en su laboratorio para rastrear la red de bots ven el mismo número limitado de servidores de ataque.

Por el contrario, Mirai, Satori, Reaper y otras redes de bots de IoT confían en dispositivos infectados para localizar e infectar dispositivos vulnerables. Esto permite a honeypots como el de Geenens estimar el tamaño de la red de bots en función del número de direcciones IP que realizan el escaneo. JenX recibe su nombre de «Jennifer», el nombre que los desarrolladores de malware dieron al binario que infecta dispositivos vulnerables.

Devine Stream

Geenens dijo que el propósito principal de la red de bots es atacar a las personas que juegan al juego en línea Grand Theft Auto en ciertos servidores de pago. Eso a su vez puede aumentar la demanda de alojamiento de juegos al sancalvicie.com. Es el mismo dominio que aloja el servidor de comando y control JenX. Se anuncia a sí mismo como resistente a los tipos de ataques que Mirai y JenX usan para derribar a los anfitriones de juegos rivales. También es el mismo dominio que anuncia los servicios de DDoS de alquiler, que parecen ser un negocio paralelo al alojamiento del juego.

El grupo de habla hispana ha bautizado a su servicio DDoS Corriente Divina, que se traduce como » corriente divina.»Una traducción aproximada al inglés del eslogan del servicio es» God’s wrath will be employed against the IP that you provide us.»

El grupo ofrece inundaciones de motor de consultas de origen e inundaciones de 32 bytes, que son tipos de ataques DDoS que son particularmente eficaces para eliminar muchos tipos de servicios de juegos multijugador. El servicio DDoS también incluye una opción «Down OVH», una referencia probable al proveedor de alojamiento con sede en Francia que es conocido por alojar servidores para juegos multijugador, incluido Minecraft. OVH fue uno de los objetivos de los ataques de 2016 de botnets como Mirai, que golpearon al proveedor de la nube con 1,1 terabits por segundo de tráfico basura, un récord en ese momento. Irónicamente, en los últimos días, el binario de Jennifer entregado a los enrutadores explotados estaba alojado en una dirección IP perteneciente a OVH, dijo Geenens.

JenX es un ejemplo de la segunda generación de botnets de IoT. Al igual que Mirai, se alimenta de la gran cantidad de enrutadores, cámaras y otros dispositivos habilitados para la red no seguros que pueblan Internet. Ese suministro proporciona a las redes de bots cantidades formidables de ancho de banda distribuido que tienen la capacidad colectiva de paralizar grandes extensiones de Internet. Una debilidad en Mirai, sin embargo, era su dependencia de las contraseñas predeterminadas para tomar el control de los dispositivos. Una vez que se cambian las contraseñas, ya sea por los fabricantes o los propietarios de dispositivos, Mirai se vuelve ineficaz.

JenX, Satori, Reaper y otras redes de bots de IoT de segunda generación han superado esta limitación explotando vulnerabilidades de firmware en dispositivos conectados a Internet. El mecanismo de infección es potencialmente mucho más efectivo porque la mayoría de los dispositivos IoT ejecutan firmware basado en Linux que generalmente está desactualizado en el momento del envío. Muchos dispositivos no se pueden actualizar en absoluto. Muchos otros que se pueden actualizar son prohibitivamente difíciles de hacer para la mayoría de la gente. Eso deja a las redes de bots de IoT de segunda generación con millones de dispositivos para hacerse cargo utilizando exploits confiables que a menudo están disponibles en línea.

Advertisement

JenX es diferente de la mayoría de las botnets de IoT, porque, como se mencionó anteriormente, depende de servidores centralizados para buscar y explotar dispositivos vulnerables. Eso significa que es probable que su tasa de crecimiento se mantenga constante. En un correo electrónico, Geenens escribió:

El potencial de esta red de bots es comparable al de Satori, ya que utiliza exactamente los mismos exploits. Sin embargo, la tasa de crecimiento de este bot no será tan alta como Satori porque Satori está utilizando bots que cada uno escanea y explota por sí mismo, por lo que más bots, más escáneres, más víctimas, incluso más bots, incluso más escáneres, etc…. tasa de crecimiento exponencial para las redes de bots Mirai, Satori y Reaper. La red de bots JenX utiliza servidores para escanear y explotar dispositivos, por lo que el crecimiento será menos que lineal. Al agregar más servidores, pueden hacer que crezca más rápido, pero nunca será tan eficiente y agresivo como Mirai, Satori y Reaper.

Geenens ha publicado un informe completo de sus últimos hallazgos aquí.

En el momento en que esta publicación se publicaba, Geenens le dijo a Ars que los equipos de abuso en Leaseweb Países Bajos y Leaseweb Alemania eliminaron algunos de los servidores de exploits JenX que se habían alojado en sus centros de datos. Geenens dijo que el servidor C&C permanece operativo, al igual que otros servidores de exploits.

Publicidad

«Esto solo les está enviando el mensaje de que necesitan mejorar para esconderse de nosotros», escribió el investigador en un correo electrónico, refiriéndose a los operadores JenX. «No es tan fácil acabar con un grupo de hackers expertos, ahora están aprendiendo de sus errores. Podrían llevar su operación a la red oscura, que es otro beneficio de usar servidores de exploits centralizados.»