Las nuevas variantes de las botnets Gafgyt y Mirai apuntan a dispositivos empresariales sin parchear, lo que indica un mayor alejamiento de los dispositivos de consumo, según los investigadores.

Las nuevas variantes de las botnets Mirai y Gafgyt apuntan a dispositivos empresariales sin parchear, según una nueva investigación.

Unit 42 de Palo Alto Networks descubrió que las variantes afectan a las vulnerabilidades en Apache Struts y en el Sistema de Gestión Global (GSM) de SonicWall. La variante Mirai explota la misma vulnerabilidad en Apache Struts que estaba detrás de la brecha de datos Equifax 2018, mientras que la variante Gafgyt explota una vulnerabilidad recientemente descubierta en versiones anteriores no compatibles del GSM de SonicWall.

El equipo de investigación de la Unit 42 observó que la variante Mirai implica tomar ventaja de 16 vulnerabilidades diferentes. Y aunque eso no es inusual, es la primera instancia conocida de Mirai o cualquiera de sus variantes que apuntan a una vulnerabilidad de Apache Struts.

La investigación también descubrió que el dominio que aloja las muestras de Mirai se resolvió en una dirección IP diferente en agosto, que también alojó muestras de Gafgyt en ese momento. Esas muestras explotaron la vulnerabilidad SonicWall GSM, que se rastrea como CVE-2018-9866. La investigación de Unit 42 no indicó si las dos botnets eran obra de un solo grupo o autor de la amenaza, pero sí dijo que la actividad podría significar problemas para las empresas.

“La incorporación de vulnerabilidades dirigidas a Apache Struts y SonicWall mediante estas botnets IoT / Linux podría indicar un mayor movimiento de objetivos de dispositivos de consumo a objetivos empresariales”, escribieron los investigadores de Palo Alto.

La vulnerabilidad de Apache Struts explotada por la nueva variante de Mirai fue reparada el año pasado antes de ser utilizada en la brecha de Equifax. Pero los sistemas que no se han actualizado aún son susceptibles a este tipo de exploits.

La botnet Mirai surgió por primera vez en el otoño de 2016, y desde entonces ha afectado a cientos de miles de IoT y dispositivos conectados. El malware de la botnet se había dirigido principalmente a dispositivos de consumo, y era responsable de ataques masivos de denegación de servicio distribuidos en la teleco alemana Deutsche Telekom y en el proveedor de servidores de nombres de dominio Dyn, que derribó sitios web como Airbnb, Twitter, PayPal, GitHub. , Reddit, Netflix y otros.

Los investigadores de Unit 42 descubrieron la variante Gafgyt y Mirai el 5 de agosto y alertaron a SonicWall sobre su vulnerabilidad GMS. La divulgación pública fue publicada por Palo Alto el 9 de septiembre.

También puedes leer: Nueva botnet de Android aparece en el mercado de Malware-as-a-Service

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *