Katana, nueva variante de la botnet Mirai para IoT

Una variante muy mejorada de la poderosa botnet Mirai ya está infectando dispositivos de IoT a pesar de que está operando en un entorno de prueba, según investigadores de la firma de ciberseguridad Avira Protection Lab.

Los investigadores descubrieron muestras de la variante, denominada "Katana", que tienen capacidad de denegación de servicio distribuida de capa 7, claves de cifrado independientes para cada fuente, autorreplicación rápida y conexión segura a sus servidores de comando y control, en Tettang, Alemania.

Los investigadores de Avira descubrieron la nueva botnet Katana cuando los honeypots de la compañía capturaron una ola de binarios de malware desconocidos. Descubrieron que la botnet, como Mirai, utiliza la ejecución remota de código y la inyección de comandos para explotar las vulnerabilidades de seguridad en los enrutadores Linksys y GPON más antiguos, así como para atacar dispositivos IoT. El análisis de Avira encontró que cuando la botnet se ejecuta como una sola instancia, enlaza diferentes puertos, como 53168, 57913, 59690, 62471 y 63749.

"Katana contiene varias características de Mirai. Estos incluyen ejecutar una sola instancia, un nombre de proceso aleatorio, editar watchdog para evitar que el dispositivo se reinicie y comandos de denegación de servicio distribuida (como 'attack_app_http' o 'attack_get_opt_int')".

Katana infecta cientos de dispositivos IoT cada día, dicen los investigadores de Avira. Los tres dispositivos principales a los que apunta la botnet incluyen el router DSL-7740C de D-Link, la puerta de enlace inalámbrica DOCSIS 3.1 y el conmutador PowerConnect 6224 de Dell.

Avira también pudo determinar qué servidores de comando y control ayudan a operar Katana, notando que 100cnc[.]r4000[.]net y 1280x1024cnc[.]r4000.net son contactados con mayor frecuencia por sus operadores, aunque estos servidores no están relacionados con el botnet Mirai original.

La botnet Mirai ganó notoriedad en 2016 cuando el malware infectó más de 100.000 de dispositivos y se utilizó para interrumpir el proveedor de servidores de nombres de dominio Dyn y atacar cámaras de televisión de circuito cerrado principalmente en Vietnam, Brasil, Estados Unidos, China y México.

Desde entonces, el código fuente de Mirai se ha filtrado en línea, lo que brinda a otros actores maliciosos la capacidad de modificar el código para sus propios fines.

"El problema con las nuevas variantes de Mirai como Katana es que se ofrecen en DarkNet o a través de sitios habituales como YouTube, lo que permite a los ciberdelincuentes sin experiencia crear sus propias redes de bots", dicen los investigadores de Avira. Por ejemplo, encontraron una página en GitHub que decía "Katana HTTP Botnet".

Allison Nixon, directora de investigación de la firma de evaluación de riesgos cibernéticos Unit 221B, dijo a Information Security Media Group a principios de este año que "el próximo ataque masivo que aproveche las botnets de IoT podría ser incluso peor que Mirai".

Fuente: BankInfoSecurity

Suscríbete a nuestro Boletín