Descubierta por primera vez en 2016, la botnet Mirai captur贸 una cantidad de dispositivos sin precedentes y caus贸 da帽os masivos a Internet. Ahora est谩 de regreso y m谩s peligroso que nunca.
El nuevo y mejorado Mirai infecta m谩s dispositivos
El 18 de marzo de 2019, los investigadores de seguridad de Palo Alto Networks revelaron que Mirai fue redise帽ado y actualizado para lograr el mismo objetivo a mayor escala. Los investigadores encontraron que Mirai usa 11 nuevos tipos de exportaciones, lo que eleva el total a 27 y una nueva lista de credenciales de administrador predeterminadas para la muestra. Algunos cambios se centran en los equipos comerciales, incluidos los televisores LG Supersign y los sistemas de presentaci贸n inal谩mbricos Wipg-1000.
Mirai puede ser a煤n m谩s poderoso si puede asumir equipos comerciales y controlar redes comerciales. Seg煤n Ruhna Nigam, investigadora principal de amenazas en las redes de Palo Alto:
Estas nuevas caracter铆sticas proporcionan a la botnet una gran superficie de ataque. En particular, apuntar a enlaces industriales tambi茅n le da acceso a un mayor ancho de banda, lo que en 煤ltima instancia conduce a una mayor potencia de botnet para ataques DDoS.
Esta versi贸n de Mirai contin煤a atacando enrutadores de clientes, c谩maras y otros dispositivos conectados a la red. Para fines destructivos, cuantos m谩s dispositivos est茅n infectados, mejor. Ir贸nicamente, el virus malicioso se public贸 en un sitio web que promocionaba un negocio que se ocupaba de "seguridad electr贸nica, implementaci贸n y monitoreo de alarmas".
Mirai es una botnet que ataca dispositivos IOT
Si no lo recuerdas, en 2016 la botnet Mirai parec铆a estar en todas partes. Apunt贸 a enrutadores, sistemas DVR, c谩maras IP y m谩s. A menudo se denominan dispositivos de Internet de las cosas (IoT) e incluyen dispositivos simples, como termostatos, que se conectan a Internet . Las botnets funcionan infectando grupos de computadoras y otros dispositivos conectados a Internet , y luego obligan a estas m谩quinas infectadas a atacar sistemas o trabajar en otros objetivos de manera coordinada.
Mirai busc贸 dispositivos con credenciales de administrador predeterminadas, ya sea porque nadie los cambi贸 o porque el fabricante los codific贸. La botnet ha capturado una gran cantidad de dispositivos. Incluso si la mayor铆a de los sistemas no fueran muy potentes, una gran cantidad de procesadores podr铆an trabajar juntos para lograr m谩s de lo que una poderosa computadora zombie podr铆a hacer por s铆 sola.
Mirai ha capturado casi 500,000 dispositivos. Al usar esta botnet a gran escala de dispositivos IoT, Mirai da帽贸 servicios como Xbox Live y Spotify y sitios web como BBC y Github , dirigidos directamente a proveedores de DNS . Con tantas m谩quinas infectadas, Dyn (el proveedor de DNS) fue detenido por un ataque DDOS de 1.1 terabytes de tr谩fico. Un ataque DDOS funciona al inundar el objetivo con una gran cantidad de tr谩fico de Internet, m谩s de lo que el objetivo puede manejar. Esto hace que el sitio web o servicio de la v铆ctima se ralentice o se desconecte por completo de Internet.
Los creadores originales del software de la botnet Marai fueron arrestados, se declararon culpables y recibieron una sentencia suspendida . Por un tiempo, Mirai fue apagado. Pero el c贸digo suficiente sobrevivi贸 para los otros criminales que se hicieron cargo de Mirai y lo cambiaron para satisfacer sus necesidades. Ahora hay otra versi贸n de Mirai.
C贸mo protegerte de Mirai
Mirai, como otras botnets, utiliza exploits conocidos para atacar dispositivos y comprometerlos. Tambi茅n est谩 tratando de usar las credenciales predeterminadas conocidas para trabajar en el dispositivo y asumirlo. Por lo tanto, sus tres mejores l铆neas de defensa son simples.
Siempre actualice el firmware y el software de todo lo que tenga en su hogar o lugar de trabajo y que pueda conectarse a Internet. La pirater铆a es un juego de gato y rat贸n, y tan pronto como un investigador descubra un nuevo exploit, se seguir谩n parches para solucionar el problema. Las botnets como esta prosperan en dispositivos sin parches y esta versi贸n de Mirai no es diferente. Las vulnerabilidades dirigidas a equipos comerciales se identificaron en septiembre del a帽o pasado y en 2017.
Fig. 1. Actualizaci贸n del firmware del enrutador.
Cambie las credenciales de administrador de sus dispositivos, nombre de usuario y contrase帽a lo antes posible. Para los enrutadores, esto se puede hacer en la interfaz web de su enrutador o aplicaci贸n m贸vil (si corresponde). Para otros dispositivos que inicie sesi贸n con el nombre de usuario o contrase帽a predeterminados, consulte el manual del dispositivo.
Si puede iniciar sesi贸n con admin , contrase帽a o un campo vac铆o, debe cambiar esto. Recuerde cambiar las credenciales predeterminadas al configurar un nuevo dispositivo. Si ya configur贸 sus dispositivos y olvid贸 cambiar su contrase帽a, h谩galo ahora. Este nuevo Mirai Varsia apunta a nuevas combinaciones de nombres de usuario y contrase帽as predeterminados.
Fig. 2. Ejemplo de nombre de usuario incorrecto.
Si el fabricante del dispositivo ha dejado de publicar nuevas actualizaciones de firmware o credenciales de administrador codificadas y no se puede cambiar, considere reemplazar el dispositivo.
La mejor manera de verificar es comenzar con el sitio web de su fabricante. Encuentre la p谩gina de soporte para su dispositivo y encuentre cualquier notificaci贸n de actualizaciones de firmware. Verifica cu谩ndo se lanz贸 el 煤ltimo. Si han pasado muchos a帽os desde la actualizaci贸n del firmware, el fabricante probablemente ya no sea compatible con el dispositivo.
Las instrucciones para cambiar las credenciales de administraci贸n tambi茅n se pueden encontrar en el sitio web de soporte del fabricante del dispositivo. Si no puede encontrar las 煤ltimas actualizaciones de firmware o una forma de cambiar la contrase帽a del dispositivo, probablemente sea hora de reemplazar el dispositivo en s铆. No debe dejar algo vulnerable y constantemente conectado a su red.
Fig. 3. Si el 煤ltimo firmware que puede encontrar es de 2012, debe reemplazar su dispositivo.
Reemplazar dispositivos puede parecer una medida radical, pero si es vulnerable, entonces esta es su mejor opci贸n. Las botnets como Mirai no ir谩n a ning煤n lado. Debes proteger tus dispositivos. Y al proteger sus propios dispositivos, proteger谩 el resto de Internet.