![\"Mirai\"](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/11\/Mirai-e1700761494496.webp\" "\\"\\"")
<\/a>La firma de seguridad Akamai ha sido la encargada de alertar sobre esta nueva campa\u00f1a activa de malware. Seg\u00fan sus hallazgos, la carga \u00fatil de Mirai tiene como objetivo enrutadores y dispositivos de grabaci\u00f3n de video en red (NVR), explotando credenciales de administrador predeterminadas para instalar variantes de Mirai con \u00e9xito.<\/p>\n
En t\u00e9rminos t\u00e9cnicos, las vulnerabilidades de d\u00eda cero utilizadas permiten la ejecuci\u00f3n remota de c\u00f3digo en los dispositivos afectados, lo que abre la puerta a la instalaci\u00f3n sin restricciones de la temible botnet. Este m\u00e9todo de ataque, que aprovecha las debilidades inherentes en la seguridad de estos dispositivos, subraya la necesidad urgente de que los fabricantes refuercen sus medidas de seguridad y los usuarios actualicen sus sistemas de manera regular.<\/p>\n
La propagaci\u00f3n de Mirai es una reminiscencia de su infame ascenso en 2016, cuando se utiliz\u00f3 para llevar a cabo ataques DDoS a gran escala que afectaron a servicios cruciales de Internet. La t\u00e1ctica persistente de Mirai de reclutar dispositivos vulnerables en una red zombie es una amenaza no solo para la estabilidad de la infraestructura digital, sino tambi\u00e9n para la privacidad y seguridad de los usuarios.<\/p>\n
Akamai advierte que la carga \u00fatil espec\u00edficamente apunta a dispositivos con credenciales de administrador predeterminadas, una pr\u00e1ctica com\u00fan que lamentablemente persiste entre los usuarios que no toman medidas para cambiar las contrase\u00f1as predeterminadas. Este descuido, combinado con las vulnerabilidades reci\u00e9n descubiertas, crea un escenario propicio para la r\u00e1pida expansi\u00f3n de la botnet.<\/p>\n
La comunidad de seguridad cibern\u00e9tica debe responder con rapidez y determinaci\u00f3n ante este resurgimiento de Mirai. Los fabricantes deben acelerar la implementaci\u00f3n de parches de seguridad, mientras que los usuarios deben ser conscientes de la importancia de cambiar las contrase\u00f1as predeterminadas y mantener sus dispositivos actualizados.<\/p>\n
En conclusi\u00f3n, la resurrecci\u00f3n de Mirai sirve como un recordatorio cr\u00edtico de que las amenazas cibern\u00e9ticas pasadas no son f\u00e1cilmente olvidadas. La constante evoluci\u00f3n y adaptaci\u00f3n de los actores malintencionados exige una vigilancia continua y una acci\u00f3n preventiva. La seguridad digital es un esfuerzo colectivo que requiere la colaboraci\u00f3n de la industria, los fabricantes y los usuarios para proteger nuestra infraestructura vital y preservar la integridad de la red global.<\/p>\n La opacidad que rodea a las vulnerabilidades de d\u00eda cero que han facilitado el resurgimiento de Mirai es un recordatorio impactante de la delicada danza que se lleva a cabo entre la revelaci\u00f3n p\u00fablica y la protecci\u00f3n de la seguridad. Con la informaci\u00f3n detallada actualmente en secreto, los dos proveedores afectados tienen la oportunidad de desarrollar y publicar los parches necesarios para remediar estas vulnerabilidades sin dar ventaja a los actores de amenazas que podr\u00edan aprovecharse de ellas.<\/p>\n Esta t\u00e1ctica de mantener en secreto los detalles t\u00e9cnicos espec\u00edficos de las fallas es comprensible dada la necesidad urgente de evitar la propagaci\u00f3n desenfrenada de ataques basados en estas vulnerabilidades. Sin embargo, tambi\u00e9n destaca la importancia de un r\u00e1pido despliegue de soluciones por parte de los proveedores involucrados.<\/p>\n La espera anticipada para la entrega de las correcciones, programada para el pr\u00f3ximo mes, plantea la pregunta sobre la capacidad de respuesta de la industria de la ciberseguridad en medio de amenazas cada vez m\u00e1s sofisticadas. La rapidez con la que se implementen estos parches ser\u00e1 crucial para mitigar el riesgo y limitar el alcance de posibles ataques impulsados por Mirai.<\/p>\n Es imperativo que la informaci\u00f3n detallada sobre las vulnerabilidades se comparta de manera selectiva y controlada, permitiendo que los parches se desarrollen y se implementen antes de que los detalles caigan en manos equivocadas. La colaboraci\u00f3n entre los proveedores, las autoridades de seguridad cibern\u00e9tica y otros actores relevantes es esencial para garantizar una respuesta coordinada y eficaz.<\/p>\n A medida que esperamos las correcciones programadas, queda claro que la ciberseguridad sigue siendo un juego de gato y rat\u00f3n, donde la velocidad y la precisi\u00f3n en la respuesta son fundamentales. Este episodio resalta la necesidad continua de vigilancia y mejora constante en la postura de seguridad de la infraestructura digital global.<\/p>\n La revelaci\u00f3n de que los ataques basados en Mirai fueron detectados inicialmente por la empresa de seguridad e infraestructura web, a trav\u00e9s de sus honeypots a finales de octubre de 2023, pone de manifiesto la importancia de las medidas proactivas en la detecci\u00f3n y mitigaci\u00f3n de amenazas cibern\u00e9ticas.<\/p>\n La capacidad de los honeypots para atraer y registrar intentos de ataques proporciona una valiosa ventana a las t\u00e1cticas y t\u00e9cnicas utilizadas por los ciberdelincuentes. El hecho de que estos ataques hayan pasado desapercibidos hasta su detecci\u00f3n por parte de la empresa de seguridad sugiere una sofisticaci\u00f3n por parte de los actores malintencionados o, posiblemente, la explotaci\u00f3n de vulnerabilidades no identificadas previamente.<\/p>\n La falta de identificaci\u00f3n de los autores de estos ataques plantea preguntas intrigantes sobre la posible motivaci\u00f3n detr\u00e1s de esta nueva ola de actividades maliciosas. La incertidumbre sobre la identidad de los responsables agrega una capa adicional de complejidad a la respuesta y a la mitigaci\u00f3n de la amenaza.<\/p>\n La comunidad de seguridad cibern\u00e9tica, junto con las autoridades competentes, enfrenta el desaf\u00edo de rastrear y atribuir estos ataques a medida que se desarrolla la investigaci\u00f3n. La habilidad de los perpetradores para mantenerse en el anonimato destaca la necesidad de mejorar la colaboraci\u00f3n internacional y la compartici\u00f3n de informaci\u00f3n entre las agencias de seguridad cibern\u00e9tica.<\/p>\n Este incidente subraya la constante evoluci\u00f3n de las t\u00e1cticas de los ciberdelincuentes y la necesidad de que las empresas de seguridad y los responsables de la toma de decisiones est\u00e9n un paso adelante. La ciberseguridad no es solo una cuesti\u00f3n de reacci\u00f3n, sino de anticipaci\u00f3n y prevenci\u00f3n. La identificaci\u00f3n y mitigaci\u00f3n de amenazas deben ser procesos continuos y \u00e1giles, capaces de adaptarse a la r\u00e1pida evoluci\u00f3n del panorama de amenazas cibern\u00e9ticas.<\/p>\n El descubrimiento de la botnet, bautizada como InfectedSlurs, revela un giro alarmante en la evoluci\u00f3n del malware, especialmente con respecto a su uso de lenguaje racial y ofensivo en los servidores de comando y control (C2) y en las cadenas codificadas. Esta variante perturbadora del malware JenX Mirai, que originalmente se dio a conocer en enero de 2018, pone de manifiesto la convergencia de amenazas cibern\u00e9ticas con motivaciones m\u00e1s all\u00e1 de la simple explotaci\u00f3n t\u00e9cnica.<\/p>\n La elecci\u00f3n del nombre en c\u00f3digo, InfectedSlurs, sugiere una conexi\u00f3n directa entre la naturaleza maliciosa de la botnet y la inclusi\u00f3n de contenido ofensivo en su infraestructura. Este enfoque inusual no solo subraya la sofisticaci\u00f3n de los actores detr\u00e1s de la botnet, sino que tambi\u00e9n agrega una dimensi\u00f3n \u00e9tica y social al panorama de la ciberseguridad.<\/p>\n La variante JenX Mirai, desde su revelaci\u00f3n en 2018, ha demostrado ser un oponente persistente y adaptable. La incorporaci\u00f3n de elementos ofensivos en la nomenclatura y la comunicaci\u00f3n de la botnet podr\u00eda indicar una estrategia calculada para desorientar y provocar reacciones emocionales entre los investigadores de seguridad y la comunidad en general.<\/p>\n Este incidente destaca la necesidad de que la seguridad cibern\u00e9tica vaya m\u00e1s all\u00e1 de la mera protecci\u00f3n contra amenazas t\u00e9cnicas y aborde tambi\u00e9n las dimensiones \u00e9ticas y socioculturales que pueden estar involucradas. La lucha contra las botnets y malware como InfectedSlurs requiere no solo medidas t\u00e9cnicas s\u00f3lidas, como la implementaci\u00f3n de parches y la mejora de la seguridad de los dispositivos, sino tambi\u00e9n una comprensi\u00f3n profunda de las motivaciones detr\u00e1s de estas amenazas.<\/p>\n En \u00faltima instancia, la ciberseguridad debe evolucionar para enfrentar no solo la complejidad t\u00e9cnica de las amenazas, sino tambi\u00e9n su impacto en la sociedad en general. La detecci\u00f3n y mitigaci\u00f3n de botnets como InfectedSlurs no solo son desaf\u00edos t\u00e9cnicos, sino tambi\u00e9n un llamado a la reflexi\u00f3n sobre c\u00f3mo abordamos la seguridad en un mundo digital cada vez m\u00e1s interconectado.<\/p>\n El descubrimiento de muestras adicionales de malware, aparentemente vinculadas a la variante hailBot Mirai, a\u00f1ade una capa adicional de complejidad al panorama de las amenazas cibern\u00e9ticas. Seg\u00fan el an\u00e1lisis reciente de NSFOCUS, firma de ciberseguridad con sede en Beijing, el hailBot Mirai se basa en el c\u00f3digo fuente de Mirai, y su nombre proviene de la cadena de informaci\u00f3n “hail china continental”, que se despliega despu\u00e9s de su ejecuci\u00f3n.<\/p>\n La relaci\u00f3n directa con el c\u00f3digo fuente de Mirai resalta la persistente adaptabilidad de esta familia de malware. La capacidad del hailBot para aprovechar vulnerabilidades y contrase\u00f1as d\u00e9biles como vectores de propagaci\u00f3n subraya la necesidad continua de medidas de seguridad s\u00f3lidas en dispositivos y sistemas.<\/p>\n El hecho de que estas muestras hayan surgido hasta septiembre de 2023 indica una actividad constante y en evoluci\u00f3n por parte de los actores detr\u00e1s de hailBot Mirai. La detecci\u00f3n y an\u00e1lisis de estas variantes adicionales proporcionan una visi\u00f3n crucial de las t\u00e1cticas en constante cambio de los ciberdelincuentes y resalta la necesidad de una respuesta \u00e1gil y proactiva por parte de la comunidad de seguridad cibern\u00e9tica.<\/p>\n El enfoque del hailBot en la explotaci\u00f3n de vulnerabilidades y contrase\u00f1as d\u00e9biles subraya la importancia de pr\u00e1cticas s\u00f3lidas de seguridad cibern\u00e9tica, como la aplicaci\u00f3n oportuna de parches y la implementaci\u00f3n de pol\u00edticas de contrase\u00f1as robustas. La colaboraci\u00f3n entre empresas de seguridad, investigadores y fabricantes es esencial para contener y neutralizar amenazas como el hailBot Mirai.<\/p>\n En un mundo donde la amenaza cibern\u00e9tica evoluciona constantemente, la identificaci\u00f3n y comprensi\u00f3n de variantes como estas son cruciales para anticipar y contrarrestar eficazmente futuros ataques.<\/p>\n El reciente descubrimiento de Akamai sobre el shell web denominado wso-ng revela una evoluci\u00f3n significativa en las t\u00e1cticas utilizadas por los actores detr\u00e1s de las amenazas cibern\u00e9ticas. WSO-NG, una iteraci\u00f3n avanzada de WSO (abreviatura de “web shell by oRb”), se destaca por su sofisticaci\u00f3n al integrarse con herramientas leg\u00edtimas como VirusTotal y SecurityTrails, mientras oculta astutamente su interfaz de inicio de sesi\u00f3n detr\u00e1s de una p\u00e1gina de error 404 al intentar acceder a ella.<\/p>\n La estrategia de disfrazar la interfaz de inicio de sesi\u00f3n detr\u00e1s de una p\u00e1gina de error 404 demuestra un nivel de astucia por parte de los desarrolladores de wso-ng. Esta t\u00e1ctica no solo dificulta la detecci\u00f3n del shell web, sino que tambi\u00e9n sugiere una comprensi\u00f3n avanzada de las medidas de seguridad implementadas para proteger los sistemas contra accesos no autorizados.<\/p>\n Una de las caracter\u00edsticas m\u00e1s preocupantes de wso-ng es su capacidad de reconocimiento, que implica la recuperaci\u00f3n de metadatos de AWS para facilitar el movimiento lateral en la red. Adem\u00e1s, la b\u00fasqueda de posibles conexiones de bases de datos de Redis para obtener acceso no autorizado a datos confidenciales de aplicaciones a\u00f1ade una dimensi\u00f3n m\u00e1s grave a las posibles implicaciones de seguridad.<\/p>\n El hecho de que este shell web busque activamente conexiones de bases de datos de Redis sugiere un enfoque m\u00e1s espec\u00edfico y dirigido hacia la obtenci\u00f3n de informaci\u00f3n confidencial. Esto resalta la importancia de las medidas de seguridad avanzadas, no solo para prevenir la infiltraci\u00f3n inicial, sino tambi\u00e9n para proteger los datos sensibles almacenados en las bases de datos.<\/p>\n La comunidad de seguridad cibern\u00e9tica debe permanecer atenta a estas evoluciones en las t\u00e1cticas de los actores malintencionados. La capacidad de wso-ng para integrarse con servicios leg\u00edtimos y su enfoque preciso en el reconocimiento de metadatos y bases de datos subraya la necesidad de una respuesta proactiva y colaborativa para mitigar las amenazas emergentes y proteger la integridad de los sistemas digitales.<\/p>\n La declaraci\u00f3n de Microsoft subraya la gravedad y la versatilidad de los shells web en manos de los ciberdelincuentes. Estos shells web representan una puerta de entrada para los atacantes, otorg\u00e1ndoles la capacidad de ejecutar comandos en servidores, lo que puede tener consecuencias devastadoras. Entre las acciones maliciosas posibles, se incluye el robo de datos, el uso del servidor como plataforma de lanzamiento para actividades adicionales, como el robo de credenciales, el movimiento lateral en la red, el despliegue de cargas \u00fatiles adicionales, y la realizaci\u00f3n de acciones pr\u00e1cticas con el teclado para manipular sistemas y configuraciones.<\/p>\n La persistencia en una organizaci\u00f3n afectada es un aspecto particularmente preocupante de la presencia de shells web. Dado que estos pueden operar silenciosamente y a menudo pasar desapercibidos, los atacantes pueden mantener un acceso no autorizado y prolongado a sistemas, lo que les permite llevar a cabo actividades maliciosas a lo largo del tiempo sin ser detectados f\u00e1cilmente.<\/p>\n Esta advertencia de Microsoft resalta la importancia de implementar medidas de seguridad s\u00f3lidas y proactivas para detectar y mitigar la presencia de shells web. Adem\u00e1s, subraya la necesidad de una educaci\u00f3n continua sobre ciberseguridad dentro de las organizaciones, con \u00e9nfasis en la importancia de mantener sistemas actualizados, emplear pr\u00e1cticas de autenticaci\u00f3n seguras y monitorear de cerca cualquier actividad sospechosa en la red.<\/p>\n La amenaza representada por los shells web es un recordatorio claro de que la ciberseguridad es un esfuerzo continuo y multifac\u00e9tico. La capacidad de ejecutar comandos en servidores abre la puerta a una serie de riesgos, y la respuesta efectiva requiere una combinaci\u00f3n de tecnolog\u00edas avanzadas, pr\u00e1cticas de seguridad robustas y una conciencia constante de las amenazas emergentes.<\/p>\n El uso de web shells disponibles en el mercado por parte de actores de amenazas presenta un desaf\u00edo significativo en los esfuerzos de atribuci\u00f3n y destaca una t\u00e1ctica com\u00fanmente empleada por grupos de ciber espionaje especializados en la recopilaci\u00f3n de inteligencia. La disponibilidad generalizada de estos web shells facilita su adquisici\u00f3n por parte de diversos actores malintencionados, lo que complica la tarea de rastrear y atribuir ataques a un grupo espec\u00edfico.<\/p>\n La capacidad de pasar desapercibidos es un sello distintivo de los grupos de ciber espionaje, quienes buscan operar en las sombras mientras recopilan informaci\u00f3n sensible. El uso de web shells comercialmente disponibles proporciona a estos actores una capa adicional de anonimato y dificulta la conexi\u00f3n de actividades maliciosas con un actor en particular.<\/p>\n La t\u00e1ctica adicional de utilizar dominios comprometidos pero leg\u00edtimos para actividades de comando y control (C2) y la distribuci\u00f3n de malware es otro ejemplo de la astucia de los ciberdelincuentes. Al aprovechar sitios web aparentemente inofensivos, los atacantes pueden eludir las defensas tradicionales y mantener una apariencia de legitimidad, lo que dificulta a\u00fan m\u00e1s la detecci\u00f3n.<\/p>\n El incidente revelado por Infoblox en agosto de 2023, que involucra sitios web de WordPress comprometidos redirigiendo a visitantes a dominios C2 y de generaci\u00f3n de dominios de diccionario (DDGA), ilustra c\u00f3mo los atacantes pueden aprovechar plataformas populares para llevar a cabo sus operaciones. La atribuci\u00f3n de esta actividad a un grupo de amenazas conocido como VexTrio destaca la necesidad cr\u00edtica de una colaboraci\u00f3n global en la identificaci\u00f3n y mitigaci\u00f3n de tales amenazas.<\/p>\n Estos desarrollos subrayan la constante evoluci\u00f3n y sofisticaci\u00f3n de las t\u00e1cticas de los ciberdelincuentes. La seguridad cibern\u00e9tica debe adaptarse continuamente para hacer frente a estas amenazas cambiantes y garantizar la protecci\u00f3n de la infraestructura digital global.<\/p>\n <\/p>\n <\/p>\n GootBot, el Bailar\u00edn Sigiloso de las Redes Empresariales 2023<\/a><\/p>\n Estrategia Robusta de Ciberseguridad 2023: La Importancia del Monitoreo Continuo<\/a><\/p>\n Kaspersky presenta sus el panorama de amenazas avanzadas 2024<\/a><\/p>\n Next Gen SASE Branch la nueva generaci\u00f3n 2023 de SASE de Netskope<\/a><\/p>\n<\/a>La seguridad cibern\u00e9tica<\/h3>\n
La seguridad cibern\u00e9tica<\/h3>\n
<\/a>Por Fernando Corval\u00e1n – Analista e Investigador de Ciberseguridad<\/h4>\n
Lea m\u00e1s sobre Ciberseguridad en;<\/h5>\n