Murdoc_Botnet, la nueva variante de Mirai que ataca a cámaras y routers

  • Endpoint
IoT_botnet

Los análisis de la nueva campaña activa han detectado más de 100 conjuntos de servidores encargados de comunicar con las IP comprometidas y más de 1.300 direcciones IP involucradas, que afectan a cámaras AVTech y a routers Huawei.

Qualys ha hecho público el descubrimiento de una operación a gran escala y actualmente en curso, bautizada como Murdoc_Botnet, que se ha demostrado como parte de la campaña de botnets Mirai. La nueva variante muestra capacidades mejoradas para comprometer dispositivos y establecer botnets expansivas.

Descubierto en 2016, más tarde latente y detectado por última vez en julio de 2024, Mirai es un malware persistente que infecta dispositivos inteligentes (IoT), convirtiéndolos en redes de bots controlados a distancia (zombies) que luego se utilizan para lanzar ataques DDoS. Durante un reciente análisis rutinario, el equipo de investigación de Qualys descubrió la nueva campaña activa, con más de 1.300 IP involucradas, que afecta a cámaras AVTech y a routers Huawei.

Murdoc_Botnet utiliza algunos exploits existentes como (CVE-2024-7029, CVE-2017-17215) para inyectar cargas útiles. En el análisis se han localizado más de 100 conjuntos de servidores encargados de comunicar con las IP comprometidas. En cuanto al flujo de infección, está basado en archivos ELF y ShellScript: el archivo se carga en el dispositivo, tras lo cual el servidor C2 se ocupa de instalar la botnet.

“El malware Mirai aprovecha problemas de seguridad de los dispositivos IoT, lo que le confiere la capacidad de convertir el poder colectivo de millones de dispositivos en botnets cuyo alcance puede ser global”, explica Sergio Pedroche, country manager de Qualys Iberia. Desde la Unidad de Investigación de Amenazas de Qualys, se recomiendan una serie de medidas clave para identificar y protegerse contra tales ataques:

- Monitorizar periódicamente los procesos sospechosos, eventos y tráfico de red generados por la ejecución de cualquier binario/script no fiable.

- Ser siempre cauteloso al ejecutar scripts de shell provenientes de fuentes desconocidas.

- Mantener los sistemas y el firmware actualizados con las últimas versiones y parches.