Entre las víctimas de alto perfil se encontraban el proveedor francés de servicios de Internet OVH (1,1 Tbps), el proveedor de servicios DNS gestionado Dyn (tamaño desconocido) y el blog personal del periodista de seguridad informática Brian Krebs (620 Gbps), que recientemente había descubierto un El servicio DDoS-for-Hire israelí llamado vDos.
Después de los ataques OVH y Krebs DDoS, alguién publicó el código fuente en abierto de Mirai, por lo que otros pueden desplegar sus propias botnets y cubrir algunas de las pistas del creador de malware.
De acuerdo con un informe de Flashpoint, esto es exactamente lo que pasó, con múltiples botnets Mirai apareciendo por toda la web.
Dos investigadores de seguridad com, 2sec4u y MalwareTech, han estado rastreando algunos de estas botnets basados en Mirai a través de las cuentas de Twitter de @MiraiAttacks y el MalwareTech Botnet Tracker.
Los dos dicen que la mayoría de las botnets de Mirai que siguen son de tamaño relativamente pequeño, pero hay una mucho más grande que el resto.
Mirai botnet de 400 mil dispositivos disponible para alquilar
En una campaña de spam realizada a través de XMPP / Jabber que comenzó hace unos días, dos personas han comenzado a anunciar su propio servicio DDoS-for-hire (de pago) basado en el malware Mirai.
Los dos afirman estar en el control de una botnet Mirai de 400.000 dispositivos, aunque no podríamos verificar al 100% que es la misma botnet observada por 2sec4u y MalwareTech.
Anuncio de botnet de Mirai
Alquiler de Biggest Mirai Botnet (400k + dispositivos)
Utilizamos exploits de 0 días para obtener dispositivos, no sólo telnet y ssh.
Anti ddos técnicas de mitigación para tcp / udp.
Puntos limitados - Mínimo 2 semanas.
Planes y límites flexibles.
Libre ataques de prueba cortos, si tenemos tiempo para mostrar.
Los dos delincuentes que están detrás de esta botnet son BestBuy y Popopret, los mismos dos individuos detrás del malware de GovRAT que fue utilizado para romper y robar datos de incontables compañías de los EEUU.
La Botnet no es nada barata
Según el anuncio de la botnet y lo que Popopret nos dijo, los clientes pueden alquilar su cantidad deseada de bots Mirai, pero por un período mínimo de dos semanas."El precio está determinado por la cantidad de bots (más bots más dinero), la duración del ataque (más = más dinero) y el tiempo de reutilización (más = descuento)", dijo Popopret a Bleeping Computer.
Los clientes no obtienen descuentos si compran grandes cantidades de bots, pero obtienen un descuento si usan períodos de tiempo de reutilización DDoS más largos.
"DDoS cooldown" es un término que se refiere al tiempo entre ataques consecutivos DDoS. Las botnets de DDoS usan tiempos de reutilización para evitar el máximo de conexiones, el llenado y el desperdicio de ancho de banda, pero también evitan que los dispositivos se silencien y se desconecten durante ondas de ataque prolongadas.
Popopret proporcionó un ejemplo: "el precio de 50.000 bots con una duración de ataque de 3600 segundos (1 hora) y 5-10 minutos de tiempo de reutilización es de aproximadamente 3-4k por 2 semanas". Como se puede ver, este no es un servicio nada barato.
Una vez que los propietarios de botnet llegan a un acuerdo con el comprador, el cliente recibe la URL Onion del backend de la botnet, donde puede conectarse a través de Telnet y lanzar sus ataques. 400K botnet ha evolucionado, añadiendo nuevas características
En comparación con el código fuente original de Mirai que se filtró en línea a principios de octubre, el botnet Popopret y BestBuy son publicidad ha sufrido una seria cirugía estética.
La botnet original de Mirai se limitó a sólo 200.000 bots. Como el investigador de seguridad 2sec4u le dijo a Bleeping Computer, esto se debía a que el malware de Mirai sólo venía con soporte para lanzar ataques de fuerza bruta a través de Telnet, y con una lista codificada de 60 combinaciones de nombre de usuario y contraseña.
El límite de 200K se debe a que hay cerca de 200.000 dispositivos conectados a Internet que tienen puertos Telnet abiertos y utilizan una de las 60 combinaciones de nombre de usuario y contraseña.
Popopret y BestBuy ampliaron el código fuente Mirai añadiendo la opción de realizar ataques de fuerza bruta a través de SSH, pero también añadieron soporte para que el malware explotara una vulnerabilidad de día cero en un dispositivo sin nombre. 2sec4u dice que sospechaba que las nuevas variantes de malware de Mirai podrían utilizar exploits y 0-days, pero esto no está confirmado ya que nadie invierte las versiones recientes del malware binario Mirai para confirmar las declaraciones de Popopret.
Fuente:
https://www.bleepingcomputer.com/news/security/you-can-now-rent-a-mirai-botnet-of-400-000-bots/
No hay comentarios:
Publicar un comentario