- Los investigadores de seguridad han notado una nueva campaña de creación de botnets llamada Murdoc
- Sus ataques tienen como objetivo cámaras IP y enrutadores.
- Más de 1.000 dispositivos fueron identificados como comprometidos
Los investigadores de ciberseguridad de la unidad de investigación de amenazas de Qualys han observado una nueva operación a gran escala que explota las vulnerabilidades en cámaras IP y enrutadores para construir una botnet.
en un Análisis técnicoQualis dijo que los atacantes estaban explotando principalmente CVE-2017-17215 y CVE-2024-7029, buscando comprometer las cámaras IP AVTECH y los enrutadores Huawei HG532. Los robots son básicamente Mirai, aunque en este caso se llamaron Murdoc.
Murdoch demostró “capacidades mejoradas, explotando vulnerabilidades para comprometer dispositivos y crear botnets ampliadas”, dijo Quallis.
Mirai persevera
La campaña probablemente comenzó en julio de 2024 y hasta ahora ha logrado comprometer 1.370 sistemas. La mayoría de las víctimas se encuentran en Malasia, México, Tailandia, Indonesia y Vietnam.
A través de una red de dispositivos conectados a Internet (bots) bajo su control, los actores maliciosos pueden lanzar ataques distribuidos de denegación de servicio (DDoS) ataques que provocan la caída de sitios web y servicios, interrumpen las operaciones y causan daños financieros y de reputación.
Mirai es una botnet muy popular malware. Creado por tres estudiantes universitarios en los EE. UU.: Paras Jha, Josiah White y Dalton Norman, Mirai saltó a la fama en 2016 después de orquestar un ataque DDoS a gran escala contra Dyn, que temporalmente cerró importantes sitios web, incluidos Netflix y Twitter.
Los creadores publicaron el código fuente en línea, justo antes de su arresto en 2017. Se declararon culpables de usar la botnet para ataques DDoS y otros esquemas.
Si bien las fuerzas del orden continúan atacando e interrumpiendo la botnet, ésta ha demostrado una gran resistencia y continúa activa hasta el día de hoy.
Hace menos de dos semanas, se encontró una variante de Mirai llamada “gayfemboy” que explotaba un error en los enrutadores industriales Four-Faith. Aunque claramente se origina en Mirai, esta nueva versión es muy diferente, ya que abusa de más de 20 vulnerabilidades y apunta a contraseñas Telnet débiles. Algunas vulnerabilidades no se habían visto antes y CVE aún no se ha identificado. Entre ellos se encuentran errores en los enrutadores Neterbit y en los dispositivos domésticos inteligentes Vimar.