Cámaras AVTech y routers Huawei, efectados por la botnet Mirai
El malware Mirai, descubierto por primera vez en 2016, ha sido una amenaza persistente en el ámbito de la ciberseguridad. Este malware infecta dispositivos inteligentes (IoT), convirtiéndolos en bots controlados a distancia que se utilizan para lanzar ataques de denegación de servicio distribuido (DDoS).
Aunque Mirai había estado latente durante un tiempo, fue detectado nuevamente en julio de 2024. Ahora, con la aparición de Murdoc_Botnet, Qualys ha demostrado que Mirai sigue evolucionando y representando un peligro significativo.
Sergio Pedroche, Country Manager de Qualys Iberia, explica que «el malware Mirai aprovecha problemas de seguridad en los dispositivos IoT, lo que le permite convertir el poder colectivo de millones de dispositivos en botnets con un alcance global». Esta capacidad de Mirai para formar redes de bots masivas subraya la necesidad de tecnologías avanzadas para proporcionar una defensa proactiva contra tales amenazas.
Murdoc_Botnet de Mirai
Durante un análisis rutinario, el equipo de investigación de Qualys descubrió la campaña activa de Murdoc_Botnet, que involucra más de 1.300 direcciones IP. Esta campaña afecta a dispositivos como cámaras AVTech y routers Huawei, específicamente el modelo HG532. Utilizando el sistema Qualys EDR (Endpoint Detection & Response), junto con datos de inteligencia de amenazas y fuentes abiertas (OSINT), los expertos de Qualys confirmaron que Murdoc_Botnet es una variante de Mirai.
Los análisis de la nueva variante, bautizada como Murdoc_Botnet, de Mirai, han detectado más de 100 conjuntos de servidores y más de 1.300 direcciones IP activas
Murdoc_Botnet emplea exploits conocidos, como CVE-2024-7029 y CVE-2017-17215, para inyectar cargas útiles en los dispositivos. El flujo de infección se basa en archivos ELF y ShellScript, que se cargan en el dispositivo, permitiendo al servidor C2 instalar la botnet. Más de 100 conjuntos de servidores han sido identificados como responsables de la comunicación con las IP comprometidas.
Recomendaciones de Seguridad
Para protegerse, la Unidad de Investigación de Amenazas de Qualys recomienda las siguientes medidas:
- Monitorización Periódica: Supervisar regularmente los procesos sospechosos, eventos y tráfico de red generado por la ejecución de cualquier binario o script no confiable.
- Precaución con Scripts de Shell: Ser cauteloso al ejecutar scripts de shell provenientes de fuentes desconocidas.
- Actualización de Sistemas y Firmware: Mantener los sistemas y el firmware actualizados con las últimas versiones y parches disponibles.
Powered by WPeMatico
