Cabecera-v2-web.jpg

Botnet Mirai y otras amenazas a dispositivos conectados a Internet (IoT)


Dí­as atrás, una serie de ataques de Denegación de Servicio Distribuido (DDoS) causó una interrupción generalizada de muchos servicios sobre Internet. Los ataques estaban dirigidos al Sistema de Nombres de Dominio (DNS), especí­ficamente a los servidores de la empresa Dyn, uno de los proveedores más importantes de servicios de DNS para empresas.Esto causó que muchos servicios como Twitter, Whatsapp, Github, Paypal, Spotify y muchos otros portales web se vieran afectados y/o fueran interrumpidos por ciertos perí­odos de tiempo. Se registraron picos de tráfico de hasta 1.5 Tbps. Previo a este ataque, se observaron otros ataques muy similares.

Un análisis de estos ataques determinó que los mismos fueron causados por botnets de dispositivos IoT, principalmente cámaras de CCTV, DVRs y routers. y infectados con el código malicioso, un malware llamado Mirai. Se calcula que el tamaño de la botnet alcanzó los 380.000 equipos infectados, distribuidos en más de 164 paí­ses. Se detectaron 780 IPs de Paraguay entre ellas.

Sistemas afectados

Dispositivos que se conectan a Internet, tales como cámaras de CCTV, DVRs, routers, impresoras, SMART TV, etc., denominados normalmente como IoT (Internet of Things - "Internet de las cosas").


https://www.incapsula.com/blog/wp-content/uploads/2016/10/mirai-botnet-map.png

Mapa geográfico de equipos infectados por Mirai detectados por la empresa Imperva

El código fuente del malware Mirai ha sido publicado en Internet dí­as atrás. El propósito de Mirai es ejecutar ataques de denegación de servicio distribuidos, comandados por un servidor comando y control (C&C) remoto, así­ como también localizar y comprometer otros dispositivos IoT para aumentar el tamaño de la botnet. El malware cuenta con una lista de 62 usuarios y contraseñas comunes, con las cuales intenta acceder a los dispositivos. Muchos dispositivos IoT se encuentran completamente o pobremente protegidos, expuestos a Internet, con contraseñas por defecto o débiles, permitiendo una infección fácil. Las combinaciones que el malware prueba son:

Una vez que el malware Mirai logra acceder al equipo, lo infecta y establece comunicación con el servidor C&C, el cual le podrá brindar instrucciones para el ataque. Es capaz de ejecutar varios tipos de ataques de denegación de servicio, de diversas capas: inundación HTTP, GRE IP y GRE ETH, SYN, ACK, STOMP (Simple Text Oriented Message Protocol), DNS y UDP.

Además, el dispositivo infectado escanea un amplio rango de IPs al puerto 48101/TCP, de modo a detectar dispositivos accesibles desde Internet, mediante Telnet.

Se ha observado la aparición de varios códigos maliciosos similares, como por ejemplo Bashlite, cuyo código fuente todaví­a no se conoce, sin embargo se calcula que ha infectado alrededor de 1 millón de dispositivos de manera similar a Mirai.

El malware Mirai y similares pueden comprometer diversos tipos de dispositivos IoT tales como cámaras de CCTV, DVRs, routers, entre otros, pudiendo ser utilizados para ataques de denegación de servicio distribuidos (DDoS), escaneos masivos para identificar otros dispositivos vulnerables, así­ como otros tipos de ataques.

Los ataques de denegación de servicio pueden interrumpir la comunicación de servicios de Internet.

Además, los dispositivos infectados podrí­an sufrir una sobrecarga de procesos y/o de tráfico, afectando su normal funcionamiento.

Mitigación y Prevención:

En caso de observar indicadores de compromiso de Mirai en algún dispositivo conectado a Internet y/o tener un dispositivo conectado a Internet con puertos expuestos a Internet y con credenciales por defecto o contraseñas fáciles, se recomienda seguir los siguientes pasos:

  • Desconectar el dispositivo de su red y de Internet
  • Realizar un reboot o reseteo del dispositivo. Debido a que el malware Mirai se aloja en la memoria dinámica del dispositivo, el reseteo lo eliminará.
  • Cambiar la contraseña del equipo, evitando utilizar la contraseña por defecto o contraseñas débiles. Se recomienda contraseñas de no menos de 10 ~ 12 caracteres, combinación de minúsculas, mayúsculas, números y caracteres especiales, evitando palabras o nombres comunes o predecibles.
  • Reconectar el dispositivo a la red. Es importante no reconectar el dispositivo antes de haberlo reseteado y cambiado la contraseña.


Puede utilizar la siguiente herramienta que hemos publicado, para verificar si se ha observado actividad de Mirai desde su IP: Verifique una IP


De modo a prevenir infecciones y ataques similares en un futuro, se recomienda seguir las siguientes buenas prácticas:

  • Cambiar siempre las contraseñas por defecto y utilizar siempre contraseñas seguras para cualquier dispositivo.
  • Mantener actualizado el firmware de los dispositivos y aplicar los parches de seguridad disponibles.
  • Desactivar Universal Plug and Play (UPnP) en los router u otros dispositivos, a menos que sea absolutamente necesario.
  • Monitorear los intentos de acceso a su dispositivo, así­ como los puertos de administración/gestión, incluidos, pero no limitado a: 22, 23, 80, 81, 443, 8080, 9090, 2323, 48101, etc. En caso de no necesitar administrar remotamente el dispositivo, desactivar la misma o restringirla a ciertas IPs.

Cualquier equipo que transmite datos y/o que puede ser operado remotamente, es un potencial blanco a este tipo de ataques: cámaras, Smart TVs, dispositivos médicos, etc. Es importante conocer cómo funcionan estos equipos, cómo se conectan y qué caracterí­sticas de seguridad ofrecen. Evitar equipos que no ofrezcan caracterí­sticas mí­nimas de seguridad, tales como cambio de contraseña, control de puertos y servicios, actualización de firmware, etc.


Para más información: https://cert.gov.py/application/files/1814/7801/3058/Boletin_20161031_Botnet_Mirai.pdf


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11