Kaspersky ha detectado una nueva interpretación del botnet Mirai, que está atacando dispositivos del Internet de las cosas (IoT) a nivel mundial. La amenaza fue identificada por el equipo de expertos del General Research and Analysis Team (GReAT) como una de las variantes activas durante 2024. En paralelo, la compañía alertó que se registraron 1,700 millones de intentos de ataque a nivel mundial a dispositivos conectados, originados en 858,520 dispositivos comprometidos. Estos datos abarcan múltiples amenazas dirigidas a IoT, en las que asimismo se incluye Mirai. Los países con anciano número de dispositivos infectados fueron Brasil, China, Egipto, India, Turquía y Rusia.

Para entender cómo operan estos ataques a dispositivos IoT, Kaspersky utilizó trampas digitales conocidas como honeypots -dispositivos señuelos diseñados para atraer a los cibercriminales y analizar su comportamiento en tiempo real-. Gracias a estas herramientas, los investigadores descubrieron que los atacantes aprovechan fallas de seguridad para instalar un software zorro (bot) que convierte los dispositivos en parte de una red comprometida, conocida como botnet Mirai. Estas redes permiten a los atacantes coordinar acciones a gran escalera, ya que están compuestas por equipos infectados que ejecutan actividades maliciosas de forma automatizada.

En esta ocasión, el principal objetivo de los ataques fue comprometer grabadoras de video digitales (DVRs), dispositivos esencia para la seguridad y vigilancia en hogares, comercios, aeropuertos, fábricas e instituciones educativas. Atacar estos equipos no solo pone en aventura la privacidad, sino que asimismo puede servir como puerta de entrada a redes más amplias, facilitando la propagación de malware y permitiendo exhalar ataques de denegación de servicio distribuido (DDoS), que consisten en saturar un sistema o sitio web con tanto tráfico que deja de funcionar correctamente. Este tipo de ataques ya se ha trillado en campañas anteriores relacionadas con el botnet Mirai.

El bot detectado en los DVR incluye mecanismos para eludir entornos de máquinas virtuales (VM) o emuladores, que son comúnmente usados por los investigadores para analizar malware. Estas técnicas permiten que el bot pase desapercibido, operando de modo más silenciosa y prolongando su permanencia en los dispositivos infectados.

“El código fuente del botnet Mirai fue publicado en internet hace casi una plazo. Desde entonces, ha sido adaptado y modificado por distintos grupos de cibercriminales para crear redes de bots a gran escalera, enfocadas principalmente en ataques DDoS y secuestro de medios”, explica Anderson Leite, investigador de seguridad del equipo GReAT de Kaspersky.

“El uso de fallas de seguridad conocidas en servidores y dispositivos IoT sin parches, pegado con la amplia presencia de este malware diseñado para sistemas Linux, hace que miles de bots estén constantemente escaneando internet en rastreo de nuevos objetivos. Al analizar fuentes públicas, identificamos más de 50,000 dispositivos DVR expuestos online, lo que muestra que los atacantes tienen muchas oportunidades para explotar equipos vulnerables.”

Para ceñir el aventura de infección en dispositivos IoT, Kaspersky recomienda cambiar las credenciales predeterminadas usando contraseñas seguras y únicas en área de las que vienen por defecto, por otra parte, renovar regularmente el firmware para persistir actualizados los DVRs y otros dispositivos IoT para corregir vulnerabilidades conocidas, y desactivar el acercamiento remoto innecesario, indicando que si no es esencial, “desactívalo”. De lo contrario, utiliza VPNs seguras para la empresa remota.

Por otra parte, aislar los DVRs en redes separadas al segmentar estos dispositivos en redes dedicadas para localizar el resonancia de un posible ataque, y monitorear el tráfico de red para estar atento a comportamientos inusuales que puedan indicar una posible infección.