DDoS en el tercer trimestre nos trae una nueva variante de Mirai: Botnet Katana

28 Octubre 2020
Informativo

El año 2020 ha sido marcado por abismantes cambios en los escenarios que conforman el panorama de Ciberinteligencia. Por su parte, la situación de la amenaza, ha visto la oportunidad de explotar este proceso acelerado de transformación digital, que en líneas generales, conlleva a incrementar las brechas de seguridad de las organizaciones. Bajo este nuevo escenario, es que el tercer trimestre nos ha entregado importantes datos a considerar en el contexto de los ataques DDoS.

Ataques DDoS en el tercer trimestre de 2020

En el tercer trimestre, se observa una caída significativa en todos los indicadores en relación con el período anterior. Esto es más probable debido a la actividad anómala de DDoS observada en el segundo trimestre que a una pausa inusual de este trimestre, lo que se vuelve claro al comparar la imagen actual con los datos del mismo período en 2019.

Tipos de ataque de DDoS mas comunes

  • TCP SYN+ACK               
  • TCP ACK
  • TCP Fragment
  • UDP
  • Slowloris
  • Spoofing
  • ICMP
  • HTTP Flood
  • Brute Force
  • DNS Flood

Países más afectados en el cono Latinoamericano

  • Argentina
  • Brasil
  • Chile
  • Colombia

Tendencias del trimestre

Según Kaspersky DDoS Intelligence han evidenciado que el tercer trimestre está muy por detrás del primer trimestre en términos de:

  • Duración de los ataques: Se registraron dos ataques de más de 10 días (246 y 245 horas), y aumentó el número de ataques que duraron 5-9 días (12 ataques que duraron 121-236 horas).
  • Distribución de los ataques:  No hubo ningún cambio: SYN flooding sigue siendo la principal herramienta (94,6%), manteniéndose prácticamente igual su cuota desde el trimestre anterior. Los ataques ICMP representaron el 3,4%, mientras que la inundación HTTP obtuvo menos del 0,1% de los ataques.
  • Las botnets de Linux aún dominan sobre sus contrapartes de Windows, y representan el 95,39% de los ataques (un aumento de 0,61 p.p. en el trimestre anterior.

Botnets reportadas en el Q3:

  • Kaiten: Es un malware usado para Botnets de DDos creadas específicamente para dispositivos de IoT. Ataca DVR, cámaras IP, dispositivos de red, entre otros.
  • Lucifer criptominer: Es una botnet híbrida DDoS conocida por convertir dispositivos Windows vulnerables en bots de criptominería de Monero. Ahora también está buscando e infectando sistemas Linux. Este malware es capaz de explotar las vulnerabilidades EternalBlue (CVE-2017-0144), EternalRomance (CVE-2017-0145) y DoublePulsar (CVE-2017-0143). En caso de no poder propagarse utilizando dichas vulnerabilidades, este utiliza un diccionario con unas 300 contraseñas y 7 nombres de usuario para tratar de acceder a los servidores con técnicas de fuerza bruta.
  • Mirai: Botnet destinada a infectar los equipos conformantes del IoT.​ El objetivo principal de este malware es la infección de routers y cámaras IP, usando estos para realizar ataques de tipo DDoS. Mirai escanea continuamente los dispositivos enlazados a IoT y los infecta accediendo mediante telnet con las credenciales de acceso que vienen por defecto, cargando su código malicioso en la memoria principal del dispositivo, de esta forma queda infectado hasta que es reiniciado. A menudo se desconoce el origen de una botnet. Sin embargo, Mirai irrumpió a lo grande en el panorama de los ataques DDoS en 2016.

Ransom Distributed Denial-of-Service (RDDoS) 

Desde mediados de agosto, se han estado enviando correos electrónicos a  empresas con una carta de extorsión, exigiendo el pago y amenazando con ataques DDoS selectivos si sus demandas no se cumplen. Estas solicitudes de extorsión son de actores de amenazas que se hacen pasar por "Fancy Bear", "Armada Collective" y "Lazarus Group". Las cartas se envían por correo electrónico y, por lo general, contienen datos específicos de la víctima, como números de sistema autónomo (ASN) o direcciones IP de servidores o servicios a los que se dirigirán si no se cumplen sus demandas. Es una campaña global con amenazas reportadas por organizaciones en finanzas, viajes y comercio electrónico en APAC, EMEA, Norteamérica y Sudamérica.

Cabe señalar que este tipo de campañas no es algo nuevo, existiendo boletines de otras fuentes de ciberseguridad, que reportaron campañas similares desde 2016.

Modus operandi

  • Envío de carta de Amenaza por correo electrónico
  • Las cartas de rescate amenazan con ciberataques de más de 2 Tbps si no se realiza el pago. Para demostrar que la carta no es un engaño, los autores indican cuándo lanzarán un ataque de demostración.
  • La carta indica que si el pago no se realiza antes de la fecha límite, el ataque continuará y la tarifa aumentará en 10 BTC (aproximadamente $113.000) por cada fecha límite incumplida.
  • Cada carta contiene una dirección de billetera Bitcoin para el pago. La dirección de la billetera es única para cada objetivo y permite al actor rastrear los pagos.
  • Las cartas de rescate son muy similares en términos y demandas.

Amenazas y Capacidades anunciadas

Akamai SIRT ha estado rastreando los ataques de los llamados actores Armada Collective y Fancy Bear, informando en uno de sus reportes que han podido visualizar las siguientes capacidades:

  • Ataques de casi 200 Gb / seg, utilizando ARMS, DNS Flood, GRE Protocol Flood, SNMP Flood, SYN Flood y WSDiscovery Flood como sus vectores principales. 
  • No se ha visto que una región específica sea atacada como resultado de estos ataques de extorsión. Hay instituciones que residen en el Reino Unido, EE. UU. Y la región Asia Pacífico que han recibido cartas de rescate.
  • No tenemos conocimiento de ningún caso en el que se haya iniciado el ataque de seguimiento amenazado una vez que pasó la fecha límite para solicitar el rescate.  

Situación de la Amenaza en Sudamérica

Siendo una campaña a nivel global ya se ha tenido conocimiento de ataques Ransom Distributed Denial-of-Service (RDDoS) dirigida principalmente al sector financiero y retail sudamericano. Además  en RRSS importantes investigadores conocedores del panorama de amenazas ya han advertido de que este tipo de amenazas ha sido recurrente en el sector financiero desde mediados de agosto de 2020.

La amenaza del futuro: Katana, nueva variante mejorada de la botnet Mirai 

Investigadores identificaron recientemente una nueva variante de la Botnet Mirai que es denominada como Katana. Aunque la Botnet Katana aún está en desarrollo, ya cuenta con módulos como capa 7 DDoS, diferentes claves de encriptación para cada fuente, autorreplicación rápida y conexión segura al servidor de comando y control (C&C). Existe  evidencia de que Katana puede estar vinculada a una Botnet bancaria HTTP en el futuro.

Análisis de Katana

Avira Protection Lab, informó que la Botnet Katana intenta explotar viejas vulnerabilidades de seguridad en enrutadores LinkSys y GPON (más antiguos). Aunque Katana utiliza exploits antiguos Avira asume que Katana se encuentra en la fase de prueba y desarrollo, sin embargo, ha llamado la atención por las siguientes características:

  • Incluye funciones clásicas de Mirai como ejecutar en una sola instancia, nombre de proceso aleatorio, manipular el “watchdog” para evitar que el dispositivo se reinicie.
  • Ofrece varios comandos DDoS como “attack_app_http” o “attack_get_opt_int”.
  • Infecta activamente cientos de dispositivos cada día, y los 3 principales según las estadísticas de Avira son:
    • DSL-7740C DLink
    • Puerta de enlace inalámbrica DOCSIS 3.1
    • Conmutador Dell PowerConnect 6224

El problema con las nuevas variantes de Mirai como Katana es que se ofrecen en la DarkNet o a través de sitios habituales como YouTube, lo que permite a los ciberdelincuentes sin experiencia crear sus propias redes de bots.

Panorama

El Internet de las cosas (IoT) ofrece una multitud de recursos para los ataques distribuidos de denegación de servicios (DDoS) y contra aplicaciones web. Los ciber actores están aprovechando los dispositivos del IoT no solo para lanzar botnets de DDoS basadas en malware, sino también como proxies para llevar a cabo actividades maliciosas. El uso conjunto de estos dispositivos para invadir los objetivos hace que los ataques DDoS de 300 Gbps sean cada vez más comunes. 

El cuarto trimestre esperamos ver indicadores comparables a los de finales de 2019, debido al frenesí de ventas de Navidad y Año Nuevo. aunque, después del segundo trimestre anormalmente activo, sería temerario hacer predicciones.


Tags: #DDos #Katana #Botnet #IoT #Mirai


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.