A finales de junio, 2021, Los investigadores de seguridad de la empresa rusa Qrator comenzaron a observar "una red de bots de un nuevo tipo". A continuación, se realizó una investigación conjunta con Yandex para descubrir más sobre esta nueva amenaza DDoS "emergente casi en tiempo real"..
Relacionado: Surge una nueva botnet Mirai, Atacar dispositivos IoT vulnerables
Meris Botnet: Nueva amenaza emergente de DDoS
Bastante sustancial, fuerza de ataque en constante crecimiento, como lo expresó Qrator, fue descubierto en forma de diez de miles de dispositivos host. La botnet ha sido apodada Meris, que significa plaga en letón.
"Por separado, Qrator Labs vio el 30 000 dispositivos de host en números reales a través de varios ataques, y Yandex recopiló los datos sobre 56 000 atacando hosts,”Según el informe oficial. Es muy probable que este número sea aún mayor, alcanzando 200,000. Es de destacar que los dispositivos de esta botnet son altamente capaces y no son los dispositivos estadísticamente promedio conectados a través de Ethernet..
¿Tiene algo que ver la nueva botnet Meris con Mirai??
“Algunas personas y organizaciones ya llamaban a la botnet “un regreso de Mirai”, que no creemos que sea exacto,"Qrator célebre. Dado que los investigadores no han visto el código malicioso detrás de esta nueva botnet, no pueden decir con certeza si está relacionado de alguna manera con Mirai. Sin embargo, dado que los dispositivos que agrupa provienen de un solo fabricante, Mikrotek, es más probable que la botnet Meris no tenga nada que ver con Mirai.
¿Cuáles son algunas especificaciones de la botnet Meris??
- Socks4 proxy en el dispositivo afectado (inconfirmado, aunque los dispositivos Mikrotik usan calcetines4)
- Uso de canalización HTTP (http / 1.1) técnica para ataques DDoS (confirmado)
- Hacer los propios ataques DDoS basados en RPS (confirmado)
- Puerto abierto 5678 (confirmado)
¿Cómo se ven comprometidos los dispositivos Mikrotik??
El vulnerabilidades utilizadas para explotar dispositivos Mikrotik a tan gran escala aún no se han descrito. Sin embargo, según los clientes en el foro Mikrotik, ha habido intentos de piratería en versiones anteriores de RouterOS, particularmente la versión 6.40.1 que se remonta a 2017. Si esto se confirma, "Esta es una noticia horrible,"Dijo Qrator. No obstante, lo más probable es que esto no sea cierto, ya que la gama de versiones de RouterOS utilizadas por la botnet Meris varía de años a recientes. El mayor número proviene del firmware anterior al actual estable..
¿Dónde se han observado ataques de la botnet Meris??
Ataques devastadores contra Nueva Zelanda, los Estados Unidos y Rusia han sido observados. Los investigadores advierten que la botnet puede "abrumar" incluso a la red más robusta, debido a su enorme potencia RPS.
"Últimamente ha aparecido en las noticias sobre “mayor ataque DDoS en Internet ruso y Yandex”, pero nosotros en Yandex vimos una imagen mucho más grande que esa. Cloudflare registró los primeros ataques de este tipo. Su publicación de blog de agosto 19, 2021, mencionó que el ataque alcanzó 17 millones de solicitudes por segundo. Observamos duraciones y distribuciones similares en todos los países e informamos esta información a Cloudflare,”Decía el informe.
Mikrotik ha sido contactado con información sobre los ataques.. En cuanto a la mitigación, la lista negra sigue siendo una opción, así como mantener los dispositivos actualizados.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: