“Matrix” despliegan una nueva botnet de IoT para realizar ataques DDoS

Iniciado por AXCESS, Noviembre 30, 2024, 11:21:10 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad de Aqua Nautilus han descubierto una nueva campaña de denegación de servicios distribuidos (DDoS) lanzada por un actor de amenazas conocido como Matrix, que explota herramientas fácilmente disponibles y una experiencia técnica mínima.

Según la investigación de Aqua Nautilus, compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Matrix, que los investigadores han etiquetado como script kiddies, tiene como objetivo una gran red de dispositivos conectados a Internet, incluidos dispositivos IoT, cámaras, enrutadores, DVR y sistemas empresariales, lo que marca una transformación en el enfoque de los ataques DDoS.

Los atacantes utilizan diferentes técnicas, asignadas al marco MITRE ATT&CK, que se basan principalmente en ataques de fuerza bruta, explotando credenciales predeterminadas débiles y configuraciones erróneas para obtener acceso inicial.

Una vez comprometidos, los dispositivos se incorporan a una red de bots más grande. Los atacantes también utilizan varios scripts y herramientas públicos para escanear sistemas vulnerables, implementar malware y ejecutar ataques.

Según la publicación del blog de Aqua Nautilus, a pesar de los indicios iniciales de afiliación rusa, la falta de objetivos ucranianos sugiere un enfoque principal en el beneficio económico en lugar de objetivos políticos. Matrix ha creado un bot de Telegram, Kraken Autobuy, para vender servicios de ataques DDoS dirigidos a ataques de capa 4 (capa de transporte) y capa 7 (capa de aplicación), enfatizando aún más la comercialización de esta campaña.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La campaña explota una combinación de vulnerabilidades recientes y antiguas, incluidas las siguientes:

CVE-2014-8361
CVE-2017-17215
CVE-2018-10562
CVE-2022-30525
CVE-2024-27348
CVE-2018-10561
CVE-2018-9995
CVE-2018-9995
CVE-2017-18368
CVE-2017-17106


Estas vulnerabilidades, combinadas con el uso generalizado de credenciales débiles, crean una superficie de ataque significativa para los actores maliciosos. La mayor parte de la actividad (alrededor del 95 %) ocurre durante los días de semana, lo que sugiere un enfoque más estructurado.

Matrix utiliza una cuenta de GitHub para almacenar y administrar herramientas y scripts maliciosos, escritos principalmente en Python, Shell y Golang.

"Se ha puesto un enfoque significativo en repositorios como scanner, gggggsgdfhgrehgregswegwe, musersponsukahaxuidfdffdf y DHJIF. Estos repositorios albergan varias herramientas diseñadas para escanear, explotar e implementar malware (principalmente Mirai y otras herramientas relacionadas con DDoS) en dispositivos y servidores de IoT", señalaron los investigadores.

Por otro lado, Virus Total identificó varias herramientas que se utilizan para lanzar ataques DDoS, entre ellas DDoS Agent, SSH Scan Hacktool, PyBot, PYnet, DiscordGo Botnet, HTTP/HTTPS Flood Attack y Homo Network. Estas herramientas permiten controlar dispositivos comprometidos, lanzar ataques DDoS a gran escala contra objetivos seleccionados y utilizar Discord para la comunicación y el control remoto.

El impacto potencial de esta campaña es significativo, ya que millones de dispositivos conectados a Internet son potencialmente vulnerables a la explotación. "Casi 35 millones de dispositivos son vulnerables. Si el 1% se ve comprometido, la botnet podría alcanzar los 350.000 dispositivos; con el 5%, podría crecer hasta los 1,7 millones, rivalizando con los principales ataques del pasado", señalaron los investigadores.

El principal impacto es la denegación de servicio a los servidores, lo que interrumpe las operaciones comerciales y en línea. Los servidores comprometidos pueden provocar la desactivación del proveedor de servicios, lo que afecta a las empresas que dependen de ellos. Se observó una operación limitada de minería de criptomonedas dirigida a ZEPHYR, que generó una ganancia financiera mínima.

Para mantenerse a salvo, las organizaciones deben priorizar prácticas de seguridad sólidas como la aplicación regular de parches, políticas de contraseñas sólidas, segmentación de la red, sistemas de detección de intrusiones, firewalls de aplicaciones web y auditorías de seguridad periódicas para reducir su exposición a ataques DDoS y otras amenazas cibernéticas.


Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta