Enemybot: una nueva botnet híbrida de Mirai y Gafgyt entra en escena

Una nueva red de bots apunta a enrutadores, dispositivos de Internet de las cosas (IoT) y una variedad de arquitecturas de servidor. El 12 de abril, los investigadores de ciberseguridad de FortiGuard Labs dijeron que la nueva botnet de denegación de servicio distribuida (DDoS), denominada Enemybot, toma prestados módulos del código fuente de la infame botnet Mirai, junto con el de Gafgyt. La red de bots Mirai fue responsable de un ataque DDoS masivo contra Dyn en 2016.
El código fuente de Mirai se filtró en línea ese mismo año, e incluso ahora, las redes de bots que utilizan partes de la red maliciosa siguen siendo las armas elegidas por los actores de amenazas. El código Gafgyt/Bashlite también es público y, según FortiGuard, el nuevo Enemybot emplea elementos de ambas botnets en sus ataques, uniéndose a Okiru, Satori y Masuta. Se cree que Keksec es el operador de la botnet.
Keksec, también conocido como Necro o Freakout, es un grupo de amenazas prolífico relacionado con ataques DDoS, ciberataques contra proveedores de servicios en la nube y campañas de cryptojacking. Según Lacework, el grupo de amenazas también es el desarrollador de una variante de malware Tsunami DDoS llamada "Ryuk", aunque esto no debe confundirse con la familia de ransomware Ryuk. Enemybot se descubrió por primera vez en marzo de 2022.
La red de bots utiliza el módulo de exploración y el eliminador de bots de Mirai, que verifica los procesos en ejecución en la memoria y finaliza a cualquier competidor en función de una selección de palabras clave. El equipo ha descrito la botnet como una variante "actualizada y renombrada" de Gafgyt_tor" debido a su gran dependencia de las funciones de la botnet obtenidas del código base de Gafgyt. Enemybot intentará comprometer una amplia gama de dispositivos y arquitecturas a través de técnicas que incluyen ataques de fuerza bruta y explotación de vulnerabilidades.
El objetivo son los enrutadores Seowon Intech, D-Link, Netgear, Zhone y D-Link, así como los enrutadores móviles iRZ y los dispositivos Android mal configurados. Los actores de amenazas intentarán explotar tanto las vulnerabilidades antiguas parcheadas como los problemas de seguridad más nuevos, como Log4j. Cuando se trata de arquitectura, Enemybot no es demasiado quisquilloso.
Los sistemas de servidor y de escritorio en arm, arm64, Darwin y BSD son atacados, junto con muchos otros. "Esta combinación de exploits dirigidos a servidores web y aplicaciones más allá de los dispositivos IoT habituales, junto con la amplia gama de arquitecturas admitidas, podría ser una señal de que Keksec está probando la viabilidad de expandir la red de bots más allá de los dispositivos IoT de bajos recursos para algo más que ataques DDoS. ”, dicen los investigadores. Una vez que el malware ha comprometido un dispositivo o servidor, se carga un archivo de texto con mensajes de texto claro, como: "ENEMEYBOT V3.
1-ALCAPONE - hail KEKSEC, TAMBIÉN TIENES HACKED MI [ELIMINADO] (Tu dispositivo literalmente tiene el seguridad de un [dispositivo de mierda] / [timbre inteligente])." Luego, Enemybot toma archivos binarios, según la arquitectura de destino, y ejecuta una variedad de comandos relacionados con DDoS. El malware también puede usar una variedad de métodos de ofuscación para dificultar el análisis y ocultar su presencia.
El servidor de comando y control (C2) de la botnet está alojado en un dominio .onion, al que solo se puede acceder a través de la red Tor. Enemybot todavía está en desarrollo activo.
"Esperamos que pronto se distribuyan más versiones actualizadas", dicen los investigadores. "FortiGuard Labs seguirá monitoreando esta botnet". ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o en Keybase: charlie0.