Mirai: El Resurgimiento Inquietante de este 2023

En un giro preocupante de los acontecimientos, la infame botnet Mirai ha vuelto a irrumpir en la escena cibernética, desencadenando una nueva ola de ataques distribuidos de denegación de servicio (DDoS).

Lo que diferencia esta resurrección de Mirai es la utilización de dos vulnerabilidades de día cero con funcionalidad de ejecución remota de código (RCE), un recordatorio sombrío de la persistencia de amenazas que, en teoría, deberían haber sido erradicadas.




La firma de seguridad Akamai ha sido la encargada de alertar sobre esta nueva campaña activa de malware. Según sus hallazgos, la carga útil de Mirai tiene como objetivo enrutadores y dispositivos de grabación de video en red (NVR), explotando credenciales de administrador predeterminadas para instalar variantes de Mirai con éxito.


En términos técnicos, las vulnerabilidades de día cero utilizadas permiten la ejecución remota de código en los dispositivos afectados, lo que abre la puerta a la instalación sin restricciones de la temible botnet. Este método de ataque, que aprovecha las debilidades inherentes en la seguridad de estos dispositivos, subraya la necesidad urgente de que los fabricantes refuercen sus medidas de seguridad y los usuarios actualicen sus sistemas de manera regular.


La propagación de Mirai es una reminiscencia de su infame ascenso en 2016, cuando se utilizó para llevar a cabo ataques DDoS a gran escala que afectaron a servicios cruciales de Internet. La táctica persistente de Mirai de reclutar dispositivos vulnerables en una red zombie es una amenaza no solo para la estabilidad de la infraestructura digital, sino también para la privacidad y seguridad de los usuarios.


En términos técnicos, las vulnerabilidades de día cero utilizadas permiten la ejecución remota de código en los dispositivos afectados, lo que abre la puerta a la instalación sin restricciones de la temible botnet


Akamai advierte que la carga útil específicamente apunta a dispositivos con credenciales de administrador predeterminadas, una práctica común que lamentablemente persiste entre los usuarios que no toman medidas para cambiar las contraseñas predeterminadas. Este descuido, combinado con las vulnerabilidades recién descubiertas, crea un escenario propicio para la rápida expansión de la botnet.


La comunidad de seguridad cibernética debe responder con rapidez y determinación ante este resurgimiento de Mirai. Los fabricantes deben acelerar la implementación de parches de seguridad, mientras que los usuarios deben ser conscientes de la importancia de cambiar las contraseñas predeterminadas y mantener sus dispositivos actualizados.


En conclusión, la resurrección de Mirai sirve como un recordatorio crítico de que las amenazas cibernéticas pasadas no son fácilmente olvidadas. La constante evolución y adaptación de los actores malintencionados exige una vigilancia continua y una acción preventiva. La seguridad digital es un esfuerzo colectivo que requiere la colaboración de la industria, los fabricantes y los usuarios para proteger nuestra infraestructura vital y preservar la integridad de la red global.



La opacidad que rodea a las vulnerabilidades de día cero que han facilitado el resurgimiento de Mirai es un recordatorio impactante de la delicada danza que se lleva a cabo entre la revelación pública y la protección de la seguridad. Con la información detallada actualmente en secreto, los dos proveedores afectados tienen la oportunidad de desarrollar y publicar los parches necesarios para remediar estas vulnerabilidades sin dar ventaja a los actores de amenazas que podrían aprovecharse de ellas.


Esta táctica de mantener en secreto los detalles técnicos específicos de las fallas es comprensible dada la necesidad urgente de evitar la propagación desenfrenada de ataques basados en estas vulnerabilidades. Sin embargo, también destaca la importancia de un rápido despliegue de soluciones por parte de los proveedores involucrados.


La espera anticipada para la entrega de las correcciones, programada para el próximo mes, plantea la pregunta sobre la capacidad de respuesta de la industria de la ciberseguridad en medio de amenazas cada vez más sofisticadas. La rapidez con la que se implementen estos parches será crucial para mitigar el riesgo y limitar el alcance de posibles ataques impulsados por Mirai.


Es imperativo que la información detallada sobre las vulnerabilidades se comparta de manera selectiva y controlada, permitiendo que los parches se desarrollen y se implementen antes de que los detalles caigan en manos equivocadas. La colaboración entre los proveedores, las autoridades de seguridad cibernética y otros actores relevantes es esencial para garantizar una respuesta coordinada y eficaz.


A medida que esperamos las correcciones programadas, queda claro que la ciberseguridad sigue siendo un juego de gato y ratón, donde la velocidad y la precisión en la respuesta son fundamentales. Este episodio resalta la necesidad continua de vigilancia y mejora constante en la postura de seguridad de la infraestructura digital global.


La revelación de que los ataques basados en Mirai fueron detectados inicialmente por la empresa de seguridad e infraestructura web, a través de sus honeypots a finales de octubre de 2023, pone de manifiesto la importancia de las medidas proactivas en la detección y mitigación de amenazas cibernéticas.


La capacidad de los honeypots para atraer y registrar intentos de ataques proporciona una valiosa ventana a las tácticas y técnicas utilizadas por los ciberdelincuentes. El hecho de que estos ataques hayan pasado desapercibidos hasta su detección por parte de la empresa de seguridad sugiere una sofisticación por parte de los actores malintencionados o, posiblemente, la explotación de vulnerabilidades no identificadas previamente.


La falta de identificación de los autores de estos ataques plantea preguntas intrigantes sobre la posible motivación detrás de esta nueva ola de actividades maliciosas. La incertidumbre sobre la identidad de los responsables agrega una capa adicional de complejidad a la respuesta y a la mitigación de la amenaza.


La comunidad de seguridad cibernética, junto con las autoridades competentes, enfrenta el desafío de rastrear y atribuir estos ataques a medida que se desarrolla la investigación. La habilidad de los perpetradores para mantenerse en el anonimato destaca la necesidad de mejorar la colaboración internacional y la compartición de información entre las agencias de seguridad cibernética.


Este incidente subraya la constante evolución de las tácticas de los ciberdelincuentes y la necesidad de que las empresas de seguridad y los responsables de la toma de decisiones estén un paso adelante. La ciberseguridad no es solo una cuestión de reacción, sino de anticipación y prevención. La identificación y mitigación de amenazas deben ser procesos continuos y ágiles, capaces de adaptarse a la rápida evolución del panorama de amenazas cibernéticas.


La seguridad cibernética

El descubrimiento de la botnet, bautizada como InfectedSlurs, revela un giro alarmante en la evolución del malware, especialmente con respecto a su uso de lenguaje racial y ofensivo en los servidores de comando y control (C2) y en las cadenas codificadas. Esta variante perturbadora del malware JenX Mirai, que originalmente se dio a conocer en enero de 2018, pone de manifiesto la convergencia de amenazas cibernéticas con motivaciones más allá de la simple explotación técnica.


La elección del nombre en código, InfectedSlurs, sugiere una conexión directa entre la naturaleza maliciosa de la botnet y la inclusión de contenido ofensivo en su infraestructura. Este enfoque inusual no solo subraya la sofisticación de los actores detrás de la botnet, sino que también agrega una dimensión ética y social al panorama de la ciberseguridad.


La variante JenX Mirai, desde su revelación en 2018, ha demostrado ser un oponente persistente y adaptable. La incorporación de elementos ofensivos en la nomenclatura y la comunicación de la botnet podría indicar una estrategia calculada para desorientar y provocar reacciones emocionales entre los investigadores de seguridad y la comunidad en general.


Este incidente destaca la necesidad de que la seguridad cibernética vaya más allá de la mera protección contra amenazas técnicas y aborde también las dimensiones éticas y socioculturales que pueden estar involucradas. La lucha contra las botnets y malware como InfectedSlurs requiere no solo medidas técnicas sólidas, como la implementación de parches y la mejora de la seguridad de los dispositivos, sino también una comprensión profunda de las motivaciones detrás de estas amenazas.


En última instancia, la ciberseguridad debe evolucionar para enfrentar no solo la complejidad técnica de las amenazas, sino también su impacto en la sociedad en general. La detección y mitigación de botnets como InfectedSlurs no solo son desafíos técnicos, sino también un llamado a la reflexión sobre cómo abordamos la seguridad en un mundo digital cada vez más interconectado.


El descubrimiento de muestras adicionales de malware, aparentemente vinculadas a la variante hailBot Mirai, añade una capa adicional de complejidad al panorama de las amenazas cibernéticas. Según el análisis reciente de NSFOCUS, firma de ciberseguridad con sede en Beijing, el hailBot Mirai se basa en el código fuente de Mirai, y su nombre proviene de la cadena de información “hail china continental”, que se despliega después de su ejecución.


La relación directa con el código fuente de Mirai resalta la persistente adaptabilidad de esta familia de malware. La capacidad del hailBot para aprovechar vulnerabilidades y contraseñas débiles como vectores de propagación subraya la necesidad continua de medidas de seguridad sólidas en dispositivos y sistemas.


El hecho de que estas muestras hayan surgido hasta septiembre de 2023 indica una actividad constante y en evolución por parte de los actores detrás de hailBot Mirai. La detección y análisis de estas variantes adicionales proporcionan una visión crucial de las tácticas en constante cambio de los ciberdelincuentes y resalta la necesidad de una respuesta ágil y proactiva por parte de la comunidad de seguridad cibernética.


El enfoque del hailBot en la explotación de vulnerabilidades y contraseñas débiles subraya la importancia de prácticas sólidas de seguridad cibernética, como la aplicación oportuna de parches y la implementación de políticas de contraseñas robustas. La colaboración entre empresas de seguridad, investigadores y fabricantes es esencial para contener y neutralizar amenazas como el hailBot Mirai.


En un mundo donde la amenaza cibernética evoluciona constantemente, la identificación y comprensión de variantes como estas son cruciales para anticipar y contrarrestar eficazmente futuros ataques.


El reciente descubrimiento de Akamai sobre el shell web denominado wso-ng revela una evolución significativa en las tácticas utilizadas por los actores detrás de las amenazas cibernéticas. WSO-NG, una iteración avanzada de WSO (abreviatura de “web shell by oRb”), se destaca por su sofisticación al integrarse con herramientas legítimas como VirusTotal y SecurityTrails, mientras oculta astutamente su interfaz de inicio de sesión detrás de una página de error 404 al intentar acceder a ella.


La estrategia de disfrazar la interfaz de inicio de sesión detrás de una página de error 404 demuestra un nivel de astucia por parte de los desarrolladores de wso-ng. Esta táctica no solo dificulta la detección del shell web, sino que también sugiere una comprensión avanzada de las medidas de seguridad implementadas para proteger los sistemas contra accesos no autorizados.


Una de las características más preocupantes de wso-ng es su capacidad de reconocimiento, que implica la recuperación de metadatos de AWS para facilitar el movimiento lateral en la red. Además, la búsqueda de posibles conexiones de bases de datos de Redis para obtener acceso no autorizado a datos confidenciales de aplicaciones añade una dimensión más grave a las posibles implicaciones de seguridad.


El hecho de que este shell web busque activamente conexiones de bases de datos de Redis sugiere un enfoque más específico y dirigido hacia la obtención de información confidencial. Esto resalta la importancia de las medidas de seguridad avanzadas, no solo para prevenir la infiltración inicial, sino también para proteger los datos sensibles almacenados en las bases de datos.


La comunidad de seguridad cibernética debe permanecer atenta a estas evoluciones en las tácticas de los actores malintencionados. La capacidad de wso-ng para integrarse con servicios legítimos y su enfoque preciso en el reconocimiento de metadatos y bases de datos subraya la necesidad de una respuesta proactiva y colaborativa para mitigar las amenazas emergentes y proteger la integridad de los sistemas digitales.


La declaración de Microsoft subraya la gravedad y la versatilidad de los shells web en manos de los ciberdelincuentes. Estos shells web representan una puerta de entrada para los atacantes, otorgándoles la capacidad de ejecutar comandos en servidores, lo que puede tener consecuencias devastadoras. Entre las acciones maliciosas posibles, se incluye el robo de datos, el uso del servidor como plataforma de lanzamiento para actividades adicionales, como el robo de credenciales, el movimiento lateral en la red, el despliegue de cargas útiles adicionales, y la realización de acciones prácticas con el teclado para manipular sistemas y configuraciones.


La persistencia en una organización afectada es un aspecto particularmente preocupante de la presencia de shells web. Dado que estos pueden operar silenciosamente y a menudo pasar desapercibidos, los atacantes pueden mantener un acceso no autorizado y prolongado a sistemas, lo que les permite llevar a cabo actividades maliciosas a lo largo del tiempo sin ser detectados fácilmente.


Esta advertencia de Microsoft resalta la importancia de implementar medidas de seguridad sólidas y proactivas para detectar y mitigar la presencia de shells web. Además, subraya la necesidad de una educación continua sobre ciberseguridad dentro de las organizaciones, con énfasis en la importancia de mantener sistemas actualizados, emplear prácticas de autenticación seguras y monitorear de cerca cualquier actividad sospechosa en la red.


La amenaza representada por los shells web es un recordatorio claro de que la ciberseguridad es un esfuerzo continuo y multifacético. La capacidad de ejecutar comandos en servidores abre la puerta a una serie de riesgos, y la respuesta efectiva requiere una combinación de tecnologías avanzadas, prácticas de seguridad robustas y una conciencia constante de las amenazas emergentes.


La seguridad cibernética


El uso de web shells disponibles en el mercado por parte de actores de amenazas presenta un desafío significativo en los esfuerzos de atribución y destaca una táctica comúnmente empleada por grupos de ciber espionaje especializados en la recopilación de inteligencia. La disponibilidad generalizada de estos web shells facilita su adquisición por parte de diversos actores malintencionados, lo que complica la tarea de rastrear y atribuir ataques a un grupo específico.


La capacidad de pasar desapercibidos es un sello distintivo de los grupos de ciber espionaje, quienes buscan operar en las sombras mientras recopilan información sensible. El uso de web shells comercialmente disponibles proporciona a estos actores una capa adicional de anonimato y dificulta la conexión de actividades maliciosas con un actor en particular.


La táctica adicional de utilizar dominios comprometidos pero legítimos para actividades de comando y control (C2) y la distribución de malware es otro ejemplo de la astucia de los ciberdelincuentes. Al aprovechar sitios web aparentemente inofensivos, los atacantes pueden eludir las defensas tradicionales y mantener una apariencia de legitimidad, lo que dificulta aún más la detección.


El incidente revelado por Infoblox en agosto de 2023, que involucra sitios web de WordPress comprometidos redirigiendo a visitantes a dominios C2 y de generación de dominios de diccionario (DDGA), ilustra cómo los atacantes pueden aprovechar plataformas populares para llevar a cabo sus operaciones. La atribución de esta actividad a un grupo de amenazas conocido como VexTrio destaca la necesidad crítica de una colaboración global en la identificación y mitigación de tales amenazas.


Estos desarrollos subrayan la constante evolución y sofisticación de las tácticas de los ciberdelincuentes. La seguridad cibernética debe adaptarse continuamente para hacer frente a estas amenazas cambiantes y garantizar la protección de la infraestructura digital global.




Por Fernando Corvalán – Analista e Investigador de Ciberseguridad

Nota original en el portal IT Connect latam

Wazuh lanza su version 4.8!
Wazuh unifica funciones históricamente separadas en una única arquitectura de agente y plataforma.