Los ataques distribuidos de denegación de servicio (DDoS) que involucran una nueva variante de Mirai llamada GorillaBot aumentaron considerablemente el mes pasado, lanzando 300.000 ataques que afectaron a unas 20.000 organizaciones en todo el mundo, incluidas casi 4.000 solo en los Estados Unidos.
En el 41% de los ataques, el actor de la amenaza intentó abrumar la red objetivo con una avalancha de Protocolo de datagramas de usuario (UDP), que son esencialmente unidades de datos livianas y sin conexión, a menudo asociadas con juegos, transmisión de video y otras aplicaciones. Casi una cuarta parte de los ataques de GorillaBot fueron Inundación de omisión de TCP ACK ataques, donde el objetivo del adversario era inundar el objetivo (a menudo un solo puerto) con una gran cantidad de paquetes de reconocimiento TCP (ACK) falsificados.
GorillaBot, la última variante de Mirai
«Este troyano es una modificación de la familia Mirai y admite arquitecturas como ARM, MIPS, x86_64 y x86», investigadores de NSFocus dijo en un informe la semana pasadadespués de observar al actor de amenazas detrás de GorillaBot lanzar su ola masiva de ataques, entre el 4 y el 27 de septiembre. “El paquete en línea y el módulo de análisis de comandos reutilizan el código fuente de Mirai, pero dejan un mensaje firmado que dice: “La botnet gorila está en la red”. dispositivo, no eres un gato, vete [sic]’, por eso llamamos a esta familia GorillaBot».
NSFocus dijo que observó que el controlador de la botnet explotaba cinco servidores de comando y control (C2) integrados en GorillaBot para emitir una cadencia constante de comandos de ataque a lo largo del día. En su punto máximo, las órdenes de ataque afectaron a 20.000 personas en un solo día. En total, los ataques se dirigieron a organizaciones en 113 países, siendo China la más afectada, seguida de Estados Unidos, Canadá y Alemania, en ese orden.
Aunque GorillaBot se basa en el código Mirai, contiene muchos más métodos de ataque DDoS: 19 en total. Los métodos de ataque disponibles en GorillaBot incluyen inundaciones DDoS a través de paquetes UDP y paquetes TCP Syn y ACK. Semejante ataques multivectoriales Puede resultar difícil de gestionar para las organizaciones objetivo, ya que cada vector a menudo requiere un enfoque de mitigación diferente.
Por ejemplo, mitigar ataques volumétricos como inundaciones UDP a menudo implican limitar la velocidad o restringir la cantidad de paquetes UDP provenientes de una única fuente, bloquear el tráfico UDP a puertos no utilizados y distribuir el tráfico de ataque entre múltiples servidores para mitigar el impacto. Mitigación de inundaciones SynAck por otro lado, implica el uso de firewalls dinámicos, cookies SYN y sistemas de detección de intrusos para rastrear las conexiones TCP y garantizar que solo se procesen paquetes ACK válidos.
Los robots malos están aumentando
El tráfico relacionado con bots maliciosos como GorillaBot ha aumentado constantemente en los últimos años y actualmente representa una proporción significativa de todo el tráfico en Internet. Investigadores de Imperva analizó recientemente unos 6 billones de solicitudes de bots maliciosos bloqueadas de su red global en 2023 y concluyó que el tráfico de estos bots representa actualmente el 32% de todo el tráfico en línea, un aumento de casi el 2% anual en comparación con el año anterior. En 2013, cuando Imperva realizó un análisis similar, el proveedor estimó el tráfico de bots en un 23,6 % y el tráfico humano en un 57 % de todo el tráfico.
El Informe Bad Bot 2024 de Imperva se centra completamente en el uso de robots malos en la capa de aplicación y no específicamente en ataques DDoS volumétricos en protocolos de red de bajo nivel. Pero la empresa ayudó a los clientes a mitigar el 12,4 % de los ataques de bots maliciosos en 2023. fueron ataques DDoS. El proveedor de seguridad descubrió que los ataques DoS en general eran los casos de uso más grandes (o entre los más grandes) de bots en ciertas industrias, como juegos, telecomunicaciones y el sector ISP en atención médica y comercio minorista. Imperva ha descubierto que los actores de amenazas a menudo tienden a utilizar bots maliciosos para lanzar ataques DDoS, donde cualquier tipo de tiempo de inactividad o interrupción del sistema puede tener un impacto significativo en las operaciones de una organización.
