Una nueva amenaza cibernética conocida como GorillaBot ha afectado a universidades, bancos y gobiernos en todo el mundo, causando una oleada de ataques distribuidos de denegación de servicio (DDoS).
Un grupo de investigadores de la empresa de ciberseguridadLas soluciones de ciberseguridad son esenciales en la era di... NSFOCUS ha identificado una peligrosa variante de la botnetUn botnet es una red de computadoras comprometidas y control... Mirai, llamada GorillaBot, que ha lanzado más de 300.000 ataques DDoS en un periodo de tres semanas, afectando a 100 países. Entre el 4 y el 27 de septiembre de 2024, la botnet emitió un promedio de 20.000 comandos de ataque diarios, logrando saturar los sistemas de organizaciones gubernamentales, universidades, proveedores de telecomunicaciones, bancos y plataformas de juegos y apuestas.
Los ataques, que han golpeado con especial fuerza a China, Estados Unidos, Canadá y Alemania, se han centrado en generar un inmenso volumen de tráfico de datos con el objetivo de sobrecargar y paralizar los servicios de sus víctimas. Según los expertos de NSFOCUS, la botnet Gorilla emplea diversas técnicas de ataque como inundaciones UDPUDP (User Datagram Protocol) es un protocolo de comunicació..., ACK BYPASS, Valve Source Engine (VSE), SYN y ACK, lo que le permite lanzar ataques masivos y altamente destructivos.
Tecnología detrás de GorillaBot
La botnet GorillaBot no solo es notable por la escala de sus ataques, sino también por su sofisticación. La estructura de Gorilla soporta múltiples arquitecturas de CPU como ARM, MIPS, x86_64 y x86, lo que le permite infectar una amplia gama de dispositivos, incluidos los IoT y servidores en la nube. Una vez que un dispositivo ha sido comprometido, la botnet se conecta a uno de los cinco servidores de comando y control (C2) predefinidos, desde donde recibe las órdenes para iniciar los ataques DDoS.
Además, el malware utiliza la vulnerabilidad en el protocolo UDP para suplantar direcciones IP, generando un alto volumen de tráfico malicioso que dificulta su detección y bloqueo. NSFOCUS ha señalado que la naturaleza sin conexión del protocolo UDP es clave en los ataques de GorillaBot, ya que permite a los atacantes falsificar direcciones IP de origen y saturar las redes de las víctimas.
Ejecución de código remoto a través de Apache Hadoop YARN
Uno de los aspectos más preocupantes de esta botnet es su capacidad para explotar una vulnerabilidad en Apache Hadoop YARN RPC, lo que le permite ejecutar código de manera remota en sistemas comprometidos. Esta vulnerabilidad, que ha sido utilizada de manera maliciosa desde 2021, permite a los atacantes tomar el control de servidores Hadoop y ampliar el alcance de sus ataques.
Una vez comprometido el sistema, GorillaBot establece una persistencia a largo plazo creando archivos de servicio personalizados que se ejecutan cada vez que el sistema se reinicia. El malware también añade comandos maliciosos a archivos clave del sistema, como /etc/inittab, /etc/profile y /boot/bootcmd, lo que le permite descargar y ejecutar scripts desde servidores remotos.
Alto nivel de sofisticación y resistencia a la detección
Los investigadores han destacado que GorillaBot ha implementado varios métodos para evadir la detección, incluyendo el uso de algoritmos de cifrado comúnmente empleados por el grupo Keksec, lo que le permite ocultar información clave y mantener el control sobre los dispositivos infectados durante largos periodos de tiempo.
“GorillaBot es una botnet emergente con un alto grado de conciencia sobre las tácticas de contradetección”, señaló NSFOCUS en su informe. «Su capacidad para mantener el control a largo plazo sobre dispositivos IoT y hosts en la nube, combinada con una diversidad de métodos de ataque DDoS, la convierte en una amenaza seria y compleja de abordar».
El panorama de la ciberseguridad ante la amenaza de GorillaBot
Este nuevo descubrimiento pone de manifiesto el creciente nivel de sofisticación de las botnets y la facilidad con la que pueden aprovechar vulnerabilidades conocidas para lanzar ataques masivos. Los especialistas en ciberseguridad advierten que la proliferación de dispositivos IoT y la expansión de los servicios en la nube han aumentado el número de vectores de ataque disponibles para los ciberdelincuentes.
La amenaza de GorillaBot subraya la necesidad de que las organizaciones refuercen sus defensas, implementen soluciones de detección avanzada y mantengan sus sistemas actualizados para evitar la explotación de vulnerabilidades como la de Apache Hadoop YARN RPC. Mientras tanto, los ataques DDoS continúan siendo una de las formas más destructivas de ciberdelito, afectando a empresas y servicios públicos en todo el mundo.
La comunidad de ciberseguridad seguirá monitorizando el comportamiento de GorillaBot y otros actores maliciosos para prevenir futuras olas de ataques.
Fuente: Open Security