‘Mirai’ significa ‘futuro’ en japonés

Mirai no es el único software malicioso circulando en Internet, mucho menos el último. De hecho, este ataque sirvió para concientizar sobre cuán vulnerable puede ser el Internet y ha puesto en descubierto la necesidad de sostener un debate más serio sobre los peligros del Internet de las Cosas (IoT). Este ataque es apenas el comienzo de esta historia de terror.

La forma como Mirai logra su objetivo es bastante simple, este malware toma control de dispositivos conectados a Internet y los convierte en bots controlables remotamente, o zombies para ser consistentes. Desde cámaras de circuito cerrado (CCTV) hasta equipos de red residenciales, tales como modems y routers, están siendo infectados alrededor del mundo para luego ser utilizados en ataques DDoS dirigidos a un objetivo específico en Internet.

Mirai trabaja de la siguiente manera:

1. Encuentra dispositivos IoT vulnerables para comprometer su seguridad y hacer crecer el botnet (red de zombies)
2. Lanza ataques DDoS dirigidos remotamente desde una unidad de Comando y Control (C&C)

Una vez que el dispositivo IoT ha sido detectado como vulnerable, Mirai se conecta remotamente e intenta adivinar sus credenciales de acceso para obtener control. El malware utiliza la técnica de fuerza bruta, también conocida como ataque de diccionario. Dicho ataque es satisfactorio debido a que estos equipos suelen ser configurados con las credenciales por defecto del fabricante, combinaciones tales como admin/admin o root/123456 que hoy por hoy siguen siendo utilizadas.

Si sientes curiosidad sobre cuántos dispositivos podrían estar infectados con el malware Mirai a nivel mundial, puedes darle un vistazo en este mapa.

El objetivo del ataque DDoS: La infraestructura DNS de Dyn

En esta oportunidad el objetivo del ataque distribuido de denegación de servicio (DDoS) fue la infraestructura de DNS de la empresa Dyn, los cuales describieron el ataque en su website como “un complejo y sofisticado ataque, utilizando tráfico malicioso TCP y UDP por el puerto 53.”

En un ataque DDoS el objetivo es inhabilitar a un servicio o sistema mediante la sobrecarga de la red, y eventual saturación, con grandes cantidades de paquetes de datos. Naturalmente, la escala de este tipo de ataques se mide en términos del ancho de banda o tráfico por segundo. El mayor ataque conocido hasta el momento ocurrió este 21 de septiembre, fue calculado en 600Gbps y estuvo dirigido a un website en específico: krebsonsecurity.com; previamente, el ataque más complejo había sido de unos 300 a 400Gbps.

Ahora, lo que ocurrió con Dyn fue una historia diferente. Las observaciones al principio del ataque sugería que el flujo de paquetes era hasta 50 veces más grande que el normal, de acuerdo al comunicado de Dyn. En este sentido, hay reportes con magnitudes en el rango de los 1.2Tbps aunque Dyn no ha verificado esta información hasta el momento de redacción de este artículo. No obstante, estamos convencidos de que el pasado viernes presenciamos el ataque DDoS más grande (2X) conocido.

Como consecuencia, clientes de Dyn en todas partes del mundo experimentaron interrupción en sus servicios, entre los cuales destacan Twitter, Amazon, Spotify y Paypal. La compañía, Dyn, confirmó que un volumen significante del tráfico malicioso dirigido hacia su infraestructura fue originado desde botnets de Mirai.

 

Más preocupaciones por la seguridad del Internet de las Cosas (IoT)

Las víctimas preferidas de Mirai son los dispositivos del Internet de las Cosas (IoT) debido a sus medidas de seguridad descuidadas y a su falta de disponibilidad de actualizaciones de firmware, lo cual los hace evidentemente vulnerables. Entonces, mientras más routers, cafeteras, termostatos, refrigeradores, Alexas (y un largo etcétera) conectemos, el Internet se hace más vulnerable.

internet-of-things-risks

Defendiéndose de la extorsión digital (en inglés) – Fuente

La escalada de ataques DDoS, tanto en tamaño como en frecuencia, sugiere que el botnet – red de bots o ‘zombies’ controlados – está creciendo rápidamente y se está convirtiendo en una amenaza real a la estabilidad del Internet.

Lamentablemente, no hay mucho que puedas hacer para evitar un ataque DDoS, sin embargo sí puedes evitar que la botnet crezca con estos sencillos pasos:

  1. Después de conectar tu dispositivo, cambia sus credenciales de acceso administrativo siguiendo las mejores prácticas para definir el usuario y contraseña
  2. Desactiva cualquier acceso remoto (WAN) a tu dispositivo
  3. Mantén el software o firmware del equipo actualizado, de ser posible

Es mejor no contribuir con nuestros propios ‘zombies’ y mantenernos alertas. Se esperan más ataques con las mismas características.

Si quieres unirte a la conversación o tienes algo que agregar, no lo pienses dos veces y utiliza la sección de comentarios. También puedes seguirnos en las redes sociales, en Twitter por @mcallend y en LinkedIn a través de MDC Data Centers.