Descubierta por primera vez en 2016, la botnet Mirai tomó el control de una cantidad sin
precedentes de dispositivos y causó daños masivos a internet. Ahora ha
vuelto y es más peligrosa que nunca.
La nueva y mejorada Mirai está infectando más dispositivos
El
18 de marzo de 2019, los investigadores de seguridad de Palo Alto Networks revelaron que Mirai se ha modificado y actualizado para
lograr el mismo objetivo en mayor escala. Los investigadores descubrieron
que Mirai estaba usando 11 nuevas exportaciones (lo que hace un total de 27) y
una nueva lista de credenciales de administrador predeterminadas para
probar. Algunos de los cambios están dirigidos al hardware empresarial,
incluidos los televisores LG Supersign y los sistemas de presentación
inalámbricos WePresent WiPG-1000.
Estas
nuevas características le dan a la botnet una gran área de ataque. En
particular, la orientación de los enlaces empresariales también le otorga
acceso a un ancho de banda mayor, lo que en última instancia da como resultado
una mayor potencia de fuego para la red de bots para ataques
DDoS.
Esta
variante de Mirai continúa atacando a los
enrutadores, cámaras y otros dispositivos conectados a la
red. Para propósitos destructivos, cuantos más dispositivos infectados,
mejor. Irónicamente, el payload malicioso se alojó en un sitio web que
promocionaba una empresa que se ocupaba de “Seguridad electrónica, integración
y monitoreo de alarmas2.”
Mirai es una botnet que ataca dispositivos IoT
Si
no te acuerdas, en 2016 la botnet Mirai parecía estar en todas partes. Dirigido
a enrutadores, sistemas DVR, cámaras IP y más. Estos a menudo se denominan
dispositivos de Internet
de las cosas (IoT) e incluyen dispositivos
simples como termostatos que se conectan a internet. Las botnets
funcionan mediante la infección de grupos de computadoras y otros
dispositivos conectados a Internet y luego obligan a esas máquinas
infectadas a atacar sistemas o trabajar en otros objetivos de manera
coordinada.
Mirai
buscó dispositivos con credenciales de
administrador predeterminadas, ya sea porque nadie las cambió o porque el
fabricante las codificó. La botnet tomó el control de una gran cantidad de
dispositivos. Incluso si la mayoría de los sistemas no fueran muy
poderosos, estos podrían trabajar juntos para lograr más de lo que una poderosa
computadora zombie podría lograr por
sí sola.
Mirai
tomó el control de casi 500,000 dispositivos. Al usar esta botnet agrupada
de dispositivos de IoT, Mirai paralizó servicios como Xbox Live, Spotify y
sitios web como BBC y Github al dirigirse directamente a los
proveedores de DNS. Con tantas máquinas infectadas, Dyn (un proveedor de
DNS) fue derribado por un ataque DDOS que vio 1.1 terabytes de
tráfico. Un ataque DDOS funciona al inundar un objetivo con una gran
cantidad de tráfico de Internet, más de lo que el objetivo puede
manejar. Esto llevará al sitio web o al servicio de la víctima a un
rastreo o lo forzará a salir de Internet por completo.
Los
creadores originales del software de botnet Mirai fueron arrestados, se
declararon culpables y recibieron términos de libertad condicional. Por un
tiempo, Mirai fue cerrada. Pero parte del código sobrevivió para que otros
actores malos tomen el control de
Mirai y la modifiquen para adaptarla a sus
necesidades. Ahora hay otra variante de Mirai por ahí.
Cómo protegerse de Mirai
Mirai,
al igual que otras botnets, utiliza ataques conocidos para atacar dispositivos
y comprometerlos. También intenta usar las credenciales de inicio de
sesión predeterminadas conocidas para trabajar en el dispositivo y
tomarlo. Así que tus tres mejores líneas de protección son sencillas.
Siempre actualiza
el firmware (y el software) de
cualquier cosa que tengas en tu hogar o lugar de trabajo que pueda conectarse a
Internet. Hackear es un juego del gato y el ratón, y una vez que un
investigador descubre una nueva vulnerabilidad, los parches siguen para
corregir el problema. Las Botnets como esta prosperan en dispositivos sin
parchear, y esta variante de Mirai no es diferente. Los ataques dirigidos
al hardware comercial se identificaron en septiembre pasado y en 2017.
Cambia
las credenciales de administrador de tus dispositivos (nombre de usuario y
contraseña) tan pronto como sea posible. Para los enrutadores, puedes
hacer esto en la interfaz web de tu enrutador o en la aplicación
móvil (si tiene una). Para otros dispositivos con los que inicies sesión
con tu nombre de usuario o contraseña predeterminados, consulta el manual del
dispositivo.
Si
puedes iniciar sesión usando admin,
contraseña o un campo en blanco, necesitas cambiar esto. Asegúrate
de cambiar las credenciales predeterminadas cada vez que configures un nuevo
dispositivo. Si ya configuraste dispositivos y olvidaste cambiar la
contraseña, hazlo ahora. Esta nueva variante de Mirai apunta a nuevas
combinaciones de nombres de usuario y contraseñas predeterminados.
Si
el fabricante de tu dispositivo dejó de publicar nuevas actualizaciones de
firmware o codificó las credenciales del administrador y no puedes cambiarlas,
considera reemplazar el dispositivo.
La
mejor manera de verificar es comenzar en el sitio web de tu
fabricante. Encuentra la página de soporte para tu dispositivo y busca
avisos sobre actualizaciones de firmware. Comprueba cuándo se lanzó la
última. Si han pasado años desde la actualización del firmware, es
probable que el fabricante ya no sea compatible con el dispositivo.
También
puedes encontrar instrucciones para cambiar las credenciales de administración
en el sitio web de asistencia del fabricante del dispositivo. Si no puedes
encontrar actualizaciones de firmware recientes o un método para cambiar la
contraseña del dispositivo, es probable que sea el momento de
reemplazarlo. No deseas dejar algo permanentemente vulnerable conectado a
tu red.
Reemplazar
tus dispositivos puede parecer drástico, pero si son vulnerables, es tu mejor
opción. Botnets como Mirai no se van a ir. Tienes que proteger tus
dispositivos. Y, al proteger tus propios dispositivos, protegerás el resto
de Internet.
¿Te
ha sido útil el post? Por favor compártelo en las redes sociales.
Fuente:
How to Geek