Mirai una versión más peligrosa y agresiva

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Una nueva variedad de la botnet Mirai, cada vez más persistente, ha comenzado a centrarse en los televisores, la señalización digital y los proyectores de acuerdo con la investigación recientemente publicada por Palo Alto.

Los botnets encuentran muy rápidamente millones de dispositivos interconectados de bajo costo, como cámaras, enrutadores, impresoras, televisores, monitores para bebés, refrigeradores, etc., que inundan el mercado con direcciones IP públicas.

La mayoría no tiene parches, tiene vulnerabilidades conocidas y, por lo general, usa contraseñas predeterminadas. ¿Dentro de una organización que está viendo la tienda y monitoreando las impresoras y monitores de TV que están conectados a Internet?

La respuesta es probable que nadie en la mayoría de las empresas.

Las redes de bots han evolucionado a lo largo de 3 generaciones y es probable que las versiones de hoy sean tan efectivas como nunca para obstruir el tráfico de Internet, lo que podría ocasionar interrupciones y paralizaciones en toda la web.

Las botnets de primera generación fueron diseñadas para facilitar un solo caso de uso empresarial.

Como ejemplo, el cifrado, la distribución de spam y los ataques de denegación de servicio siguen siendo tan populares como siempre.

Con el fraude de clics o el fraude publicitario, el adversario se dio cuenta de que puede alojar anuncios en sus propios sitios web y, si dirigen el tráfico al sitio web, pueden ganar dinero.

Si alguien hace clic en los anuncios, puede ganar aún más dinero.

Los delincuentes tuvieron la idea de que podrían construir botnets, ir a sitios web controlados por delincuentes en sitios que están siendo operados por delincuentes y pueden recolectar dinero como si fueran humanos, cuando en realidad las botnets generan los clics.

Las botnets de segunda generación ofrecen servicios y se venden a terceros con el objetivo de monetizar los recursos informáticos que controlan.

Un ejemplo principal sería la distribución de ataques de denegación de servicio (DDOS). Como ejemplo, la Compañía X trataría de extorsionar a la Compañía Y de algo.

La Compañía X no necesariamente tiene acceso a los recursos, por lo que pagarán a un operador de botnet que tiene acceso a 5,000, 10,000 o 20,000 máquinas que están completamente operativas y ejecutan un programa para acceder a sitios web.

Las botnets de tercera generación brindan un enfoque más especializado para usar las computadoras bajo su control.

El operador de la red de bots recopila el acceso a miles de máquinas y luego vende el acceso a esas máquinas.

Estos operadores generalmente operan en mercados en línea como xDedic y otros ofrecen acceso a las redes de empresas en una variedad de industrias tales como servicios gubernamentales, minoristas y financieros.

Las máquinas que obtienen los precios más altos son las que están conectadas a las redes relevantes, es decir, a las compañías Fortune 500, etc.

Los operadores de botnets venden el acceso a las personas que buscan lanzar ataques contra estas compañías específicas.

Estas botnets no son necesariamente sofisticadas. Se apoderan de máquinas que no tienen seguridad estricta.

No hay forma de esconderse de estas botnets. Si tiene una dirección IP que está en línea y la seguridad es una idea de último momento, su empresa es un objetivo.

Este efecto en cascada puede ocurrir en 1-2 días. En el momento en que pone un activo vulnerable en línea, solo es cuestión de tiempo antes de ser victimizado.

Para mejorar la seguridad dentro de una empresa, se pueden tomar una serie de pasos prácticos para mejorar la seguridad y minimizar el riesgo:

  1. Los dispositivos en la oficina que no se pueden monitorear 24 x 7 deben segmentarse y ponerse en cuarentena fuera del resto de la red.
  2. Restricción del acceso externo. Segmentar desde Internet, no permita que los dispositivos tengan direcciones IP disponibles públicamente.
  3. Escanee constantemente su red desde el exterior para asegurarse de que sus activos no estén expuestos a Internet. Segmento, segmento, segmento.
  4. Compre dispositivos IoT de proveedores que tomen en serio la seguridad. Trabaje con proveedores que tengan una política y un procedimiento de seguridad claros para proteger sus dispositivos.

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS