Varios botnets de denegación de servicio distribuido (DDoS) han sido observados explotando una vulnerabilidad crítica en dispositivos Zyxel, que salió a la luz en abril de 2023, para obtener control remoto de sistemas vulnerables.
"Mediante el análisis del tráfico de explotación, se identificó la dirección IP del atacante y se determinó que los ataques estaban ocurriendo en múltiples regiones, incluyendo América Central, América del Norte, Asia Oriental y Asia del Sur", dijo Cara Lin, investigadora de Fortinet FortiGuard Labs.
La vulnerabilidad, identificada como CVE-2023-28771 (calificación CVSS: 9.8), es un error de inyección de comandos que afecta a múltiples modelos de firewall y que podría permitir a un actor no autorizado ejecutar código arbitrario enviando un paquete especialmente diseñado al dispositivo objetivo.
El mes pasado, la Shadowserver Foundation advirtió que la vulnerabilidad estaba siendo "activamente explotada para construir un botnet similar a Mirai", al menos desde el 26 de mayo de 2023, lo que indica cómo el abuso de servidores con software sin parchear está en aumento.
Los últimos hallazgos de Fortinet sugieren que la falla está siendo aprovechada oportunamente por múltiples actores para comprometer hosts susceptibles y agruparlos en un botnet capaz de lanzar ataques DDoS contra otros objetivos. Esto incluye variantes del botnet Mirai, como Dark.IoT, y otro botnet apodado Katana por su autor, que cuenta con capacidades para montar ataques DDoS utilizando protocolos TCP y UDP.
"Parece que esta campaña utilizó múltiples servidores para lanzar ataques y se actualizó en cuestión de días para maximizar la compromiso de dispositivos Zyxel", dijo Lin. Esta revelación se produce mientras Cloudflare informa de una "preocupante escalada en la sofisticación de los ataques DDoS" en el segundo trimestre de 2023, con actores maliciosos ideando nuevas formas de evadir la detección mediante la "hábil imitación del comportamiento del navegador" y manteniendo sus tasas de ataque por segundo relativamente bajas.
Además, se suma a la complejidad el uso de ataques de "lavado de DNS" para ocultar el tráfico malicioso a través de resolutores DNS recursivos de buena reputación y el uso de botnets de máquinas virtuales para orquestar ataques DDoS hiper-volumétricos. "En un ataque de lavado de DNS, el actor malicioso consultará subdominios de un dominio que es gestionado por el servidor DNS de la víctima", explicó Cloudflare. "El prefijo que define el subdominio es aleatorio y nunca se usa más de una o dos veces en dicho ataque".
"Debido al elemento de aleatoriedad, los servidores DNS recursivos nunca tendrán una respuesta en caché y deberán reenviar la consulta al servidor DNS autoritativo de la víctima. El servidor DNS autoritativo se verá entonces bombardeado por tantas consultas que no podrá atender consultas legítimas o incluso puede colapsar por completo".
Otro factor destacado que contribuye al aumento de las ofensivas DDoS es la aparición de grupos hacktivistas pro-rusos como KillNet, REvil y Anonymous Sudan (también conocido como Storm-1359), que han enfocado sus ataques principalmente en objetivos de los Estados Unidos y Europa. No hay evidencia que conecte a REvil con el conocido grupo de ransomware.
Mandiant afirmó en un nuevo análisis que la "creación regular y absorción de nuevos grupos" por parte de KillNet es al menos parcialmente un intento de continuar atrayendo la atención de los medios occidentales y mejorar el componente de influencia de sus operaciones. Además, el análisis señala que los objetivos del grupo KillNet se han alineado consistentemente con las prioridades geopolíticas rusas establecidas y emergentes.
"La estructura, liderazgo y capacidades de KillNet han experimentado varios cambios observables en el último año y medio, avanzando hacia un modelo que incluye nuevos grupos afiliados de mayor perfil destinados a atraer atención para sus marcas individuales además de la marca más amplia de KillNet", agregó el análisis.
¿Quieres saber más?
Comentários