Kaspersky ha detectado una nueva versión del botnet Mirai, que está atacando dispositivos del Internet de las cosas (IoT) a nivel global. La amenaza fue identificada por el equipo de expertos del Global Research and Analysis Team (GReAT) como una de las variantes activas durante 2024. En paralelo, la compañía alertó que se registraron 1,700 millones de intentos de ataque a nivel mundial a dispositivos conectados, originados en 858,520 dispositivos comprometidos. Estos datos abarcan múltiples amenazas dirigidas a IoT, en las que también se incluye Mirai. Los países con mayor número de dispositivos infectados fueron Brasil, China, Egipto, India, Turquía y Rusia.
Para entender cómo operan estos ataques a dispositivos IoT, Kaspersky utilizó trampas digitales conocidas como honeypots -dispositivos señuelos diseñados para atraer a los cibercriminales y analizar su comportamiento en tiempo real-. Gracias a estas herramientas, los investigadores descubrieron que los atacantes aprovechan fallas de seguridad para instalar un programa malicioso (bot) que convierte los dispositivos en parte de una red comprometida, conocida como botnet Mirai. Estas redes permiten a los atacantes coordinar acciones a gran escala, ya que están compuestas por equipos infectados que ejecutan actividades maliciosas de forma automatizada.
En esta ocasión, el principal objetivo de los ataques fue comprometer grabadoras de video digitales (DVRs), dispositivos clave para la seguridad y vigilancia en hogares, comercios, aeropuertos, fábricas e instituciones educativas. Atacar estos equipos no solo pone en riesgo la privacidad, sino que también puede servir como puerta de entrada a redes más amplias, facilitando la propagación de malware y permitiendo lanzar ataques de denegación de servicio distribuido (DDoS), que consisten en saturar un sistema o sitio web con tanto tráfico que deja de funcionar correctamente. Este tipo de ataques ya se ha visto en campañas anteriores relacionadas con el botnet Mirai.
El bot detectado en los DVR incluye mecanismos para evadir entornos de máquinas virtuales (VM) o emuladores, que son comúnmente usados por los investigadores para analizar malware. Estas técnicas permiten que el bot pase desapercibido, operando de manera más silenciosa y prolongando su permanencia en los dispositivos infectados.
“El código fuente del botnet Mirai fue publicado en internet hace casi una década. Desde entonces, ha sido adaptado y modificado por distintos grupos de cibercriminales para crear redes de bots a gran escala, enfocadas principalmente en ataques DDoS y secuestro de recursos”, explica Anderson Leite, investigador de seguridad del equipo GReAT de Kaspersky.
“El uso de fallas de seguridad conocidas en servidores y dispositivos IoT sin parches, junto con la amplia presencia de este malware diseñado para sistemas Linux, hace que miles de bots estén constantemente escaneando internet en busca de nuevos objetivos. Al analizar fuentes públicas, identificamos más de 50,000 dispositivos DVR expuestos online, lo que muestra que los atacantes tienen muchas oportunidades para explotar equipos vulnerables.”
Para reducir el riesgo de infección en dispositivos IoT, Kaspersky recomienda cambiar las credenciales predeterminadas usando contraseñas seguras y únicas en lugar de las que vienen por defecto, además, actualizar regularmente el firmware para mantener actualizados los DVRs y otros dispositivos IoT para corregir vulnerabilidades conocidas, y desactivar el acceso remoto innecesario, indicando que si no es esencial, “desactívalo”. De lo contrario, utiliza VPNs seguras para la administración remota.
Además, aislar los DVRs en redes separadas al segmentar estos dispositivos en redes dedicadas para limitar el alcance de un posible ataque, y monitorear el tráfico de red para estar atento a comportamientos inusuales que puedan indicar una posible infección.
