- La unidad de investigación de SILIKN detectó las direcciones IP maliciosas a través de las cuales se está diseminando la botnet Mirai en México.
- La botnet Mirai es un tipo de red de bots (botnet) que se hizo famosa en septiembre de 2016 cuando llevó a cabo un ataque masivo de denegación de servicio distribuido (DDoS) que afectó a grandes partes de Internet.
De manera reciente, la unidad de investigación de SILIKN dio a conocer que al menos 22 dependencias gubernamentales están en alto riesgo por una nueva serie de ataques diseñados para diseminar el malware de botnet Mirai y mineros de criptomonedas, aprovechando las vulnerabilidades de servidores Apache Tomcat mal configurados y mal protegidos: https://www.silikn.com/2023/07/al-menos-22-dependencias.html
Las direcciones IP que se deben monitorear y bloquear son:
201.174.86.245, 187.154.133.61, 189.234.33.8, 187.251.117.69, 189.203.214.232, 170.81.141.124, 201.102.54.144: Estas direcciones IP intentan aplicar fuerza bruta a dispositivos IoT a través de telnet o SSH con credenciales genéricas predeterminadas compartidas en una amplia variedad de dispositivos.
189.180.111.22: Esta dirección IP intenta explotar una vulnerabilidad de inyección de comandos en la interfaz UPnP SOAP en varios dispositivos D-Link.
187.224.211.118: Esta dirección IP intenta explotar los enrutadores Huawei vulnerables a CVE-2017-17215.
Las direcciones IP antes mencionadas muestran un comportamiento que indica que están infectadas con Mirai o una variante de malware similar a Mirai.
Las recomendaciones son las siguientes:
– Bloquear la IP en tu firewall. Esto evitará que la IP pueda conectarse a tu computadora o red.
– Reportar la IP a las autoridades. Esto ayudará a que la IP sea rastreada y los responsables sean sancionados.
– Cambiar tu contraseña. Esto ayudará a proteger tu cuenta de ser hackeada por la IP maliciosa.
– Mantener tus softwares actualizados. Las actualizaciones de software suelen incluir parches de seguridad que pueden ayudar a proteger tu computadora de ataques maliciosos.
– Ser cuidadoso con los enlaces que abres y los archivos que descargas. Los enlaces y archivos maliciosos pueden ser utilizados para infectar tu computadora con malware.
– Usa una VPN (red privada virtual) cuando accedas a Internet desde redes públicas.
– Usa un antivirus y un firewall.
– Mantén tu software actualizado.
– Sé cuidadoso con los enlaces que abres y los archivos que descargas.
– No reveles tu información personal en línea.
– Educa a los demás sobre los peligros de la seguridad en línea.
¿Qué es Mirai?
La botnet Mirai es un tipo de red de bots (botnet) que se hizo famosa en septiembre de 2016 cuando llevó a cabo un ataque masivo de denegación de servicio distribuido (DDoS) que afectó a grandes partes de Internet. Esta botnet se destacó por su capacidad para reclutar una gran cantidad de dispositivos conectados a Internet, como cámaras de seguridad, enrutadores y otros dispositivos de Internet de las cosas (IoT), y utilizarlos para llevar a cabo ataques coordinados.
El término “Mirai” proviene del idioma japonés y se traduce como “futuro”. Fue creado por un estudiante de programación y seguridad informática llamado Paras Jha, junto con otros dos colaboradores. La botnet Mirai se diseñó para buscar dispositivos vulnerables que aún utilizaban las contraseñas predeterminadas o débiles y luego infectarlos para formar parte de su red.
Una vez que los dispositivos eran infectados, se convertían en “bots” controlados por el servidor central de la botnet, lo que permitía a los atacantes utilizarlos para lanzar ataques DDoS. Estos ataques consisten en inundar un sitio web o servicio con una gran cantidad de tráfico desde múltiples dispositivos simultáneamente, lo que puede hacer que el servicio se sature y se vuelva inaccesible para los usuarios legítimos.
La botnet Mirai fue responsable de algunos de los ataques DDoS más grandes y perjudiciales registrados hasta esa fecha. Además, su código fuente se hizo público después de los ataques iniciales, lo que permitió que otros ciberdelincuentes crearan variantes y llevaran a cabo sus propios ataques.
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
