Llega Satori, la nueva sucesora de Mirai

Mientras media España se paralizaba por el puente de la Constitución, investigadores demedio mundo observaban con espanto la aparición de Satori, una botnet que en sólo doce horas ha sido capas de infectar más de 280.000 direcciones IP, convirtiendo en esclavos a cientos de miles de routers gracias a explotar una vulnerabilidad de Día Cero descubierta recientemente.

También puedes leer... La nueva Mafia El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Los investigadores ya han advertido que, a diferencia de otras variantes de Mirai, la botnet Satori incorpora dos exploits que se conectan con los puertos 37215 y 52869 para infectar dispositivos móviles. Y lo que esto significa es que esta botnet es capaz de infectar cientos de miles de dispositivos IoT en cuestión de horas.

Aparentemente los operadores de la botnet Satori podrían lanzar un ataque DDoS en culquier momento, lo que ha llevado a más de un experto a asegurar que la botnet podría infectar tantos dispositivos en los próximos días como para paralizar Internet.

Mientras se estudia la manera de bloquear o destruir la botnet, algunos consejos de expertos para los usuarios de internet en general es asegurarnos de no utilizar las contraseñas por defecto de los dispositivos IoT, además de asegurarte de que los tienes convenientemente actualizados.

Según publica Bleeping Computer la botnet Satori difiere de otras variantes de Mirai vistas hasta ahora. Una de las diferencias es que las versiones de Mirai anteriores infectaban dispositivos IoT y después descargaban un escáner cuyo objetivo era encontrar otras víctimas e infectarlas. Satori no utiliza un escáner sino que utiliza dos exploits embebidos que intentan conectarse a otros dispositivos a través de los puertos antes mencionados. Y esto es lo que convierte a Satori en un gusano: ser capaz de extenderse por sí mismo sin necesidad de componentes aparte.

Satori, además, parece estar explotando una vulnerabilidad de Día Cero relacionada con el puerto 37215 en los routers de Huawei, un fallo de ejecución remota de código sobre el que ya informó Check Point a finales de noviembre.

La vulnerabilidad relacionada con al puerto 52869 es de hace unos años. Su referencia es CVE-2014-8361, y afecta a dispositivos Realtek. En el caso de que el dispositivo no hay sido parcheado el exploit tendrá éxito.

Mirai tuvo un fuerte impacto en el mercado. Satori no es su primer descendiente directo. Hace un mes se detectó otra botnet conocida como Netlab que reunió cerca de 100.000 bots. Y aunque no está claro que el autor de Satori y de Netlab sean el mimo, sí que parece que ambas variantes comparten nombres de archivos y otras características, además de algunos protocolos C2.