Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Nueva botnet Mēris realiza ataque DDoS récord al proveedor ruso Yandex


Una nueva botnet llamada Mēris,que consta de aproximadamente 250,000 dispositivos infectados con malware ha estado detrás de algunos de los mayores ataques DDoS durante el verano, rompiendo el récord del mayor ataque DDoS volumétrico dos veces, una en junio y nuevamente este mes. El ataque más reciente alcanzó un máximo de 21,8 millones de RPS (peticiones por segundo) a un banco ruso alojado por Yandex.

 


 Meris, la nueva botnet de 250.000 dispositivos que realiza ataques DDoS


  • La empresa de seguridad rusa Qrator Labs descubre Meris, una nueva botnet masiva de IoT utilizada para ataques DDoS.
  • Qrator estima el tamaño de la botnet en alrededor de 250.000 dispositivos infectados, la mayoría del proveedor letón MikroTik.
  •   La botnet Meris batió el récord del mayor ataque DDoS volumétrico dos veces este verano.
  •   Su ataque más reciente alcanzó un máximo de 21,8 millones de RPS (peticiones por segundo) y estaba dirigido a una infraestructura de alojamiento de un banco ruso en servidores Yandex.
  • El gigante ruso de Internet Yandex ha sido blanco del mayor ataque DDoS en la historia de Runet, la Internet rusa diseñada para ser independiente de la red mundial y garantizar la resistencia del país a un cierre de Internet.S.

Una nueva botnet que consta de aproximadamente 250,000 dispositivos infectados con malware ha estado detrás de algunos de los mayores ataques DDoS durante el verano, rompiendo el récord del mayor ataque DDoS volumétrico dos veces, una en junio y nuevamente este mes.

Llamada Mēris, la palabra letona para "plaga", la botnet se ha utilizado principalmente como parte de una campaña de extorsión DDoS contra proveedores de servicios de Internet y entidades financieras en varios países, como Rusia, Reino Unido, Estados Unidos y Nueva Zelanda.

El grupo detrás de la botnet generalmente envía correos electrónicos amenazantes a grandes empresas solicitando el pago de un rescate. Los correos electrónicos, que se dirigen a empresas con una amplia infraestructura en línea y que no pueden permitirse ningún tiempo de inactividad, contienen amenazas de eliminar servidores cruciales si el grupo no recibe una cierta cantidad de criptomonedas antes de una fecha límite.

Si las víctimas no pagan, los operadores de la botnet realizan ataques más pequeños al principio que aumentan sustancialmente de tamaño con el tiempo para presionar a las víctimas.


Meris: "una red de bots de un nuevo tipo"


Qrator Labs, un servicio ruso de mitigación de DDoS, describió a Meris como "una botnet de un nuevo tipo" en una publicación de blog publicada hoy, luego de una serie de ataques contra empresas rusas.

"En las últimas semanas, hemos visto ataques devastadores contra Nueva Zelanda, Estados Unidos y Rusia, que todos atribuimos a esta especie de botnet", dijeron hoy los investigadores de la compañía.


“[Meris] puede abrumar casi cualquier infraestructura, incluidas algunas redes muy robustas. Todo esto se debe a la enorme potencia de RPS que trae consigo ”, dijo la compañía, donde RPS significa solicitudes por segundo, una de las dos formas de medir el tamaño de los ataques DDoS [la otra es Gbps, gigabytes por segundo].

La razón por la que Qrator Labs llama a Meris único en su clase es que antes de este verano, la mayoría de los ataques DDoS basados ​​en RPS eran muy raros y no se habían visto a esta escala durante los últimos cinco años.

La mayoría de las redes de bots están configuradas para enviar tanto tráfico basura a un objetivo como sea posible en los clásicos "ataques de ancho de banda", que se miden en Gbps.

Los ataques RPS, denominados ataques DDoS volumétricos o de capa de aplicación, (layer 7) son diferentes porque los atacantes se centran en enviar solicitudes a un servidor de destino para saturar su CPU y memoria. En lugar de obstruir su ancho de banda con tráfico basura, los ataques volumétricos se enfocan en ocupar los recursos de los servidores y eventualmente bloquearlos.

“Durante los últimos cinco años, prácticamente no ha habido ataques a la capa de aplicaciones a escala global”, dijo Qrator


Botnet rompe récords de DDoS dos veces


Pero las cosas cambiaron este verano con la aparición de Meris, que se basó en una versión modificada del antiguo malware Mirai DDoS, según la empresa de infraestructura de Internet Cloudflare, que también tuvo que lidiar con algunos de sus ataques.

Pero en lugar de centrarse en los ataques de ancho de banda, como la mayoría de las variantes de Mirai, Meris se centró en módulos especializados en lanzar ataques volumétricos y, aparentemente, encontraron un punto óptimo.

A raíz de su reciente serie de ataques, Meris batió dos veces el récord del mayor ataque volumétrico DDoS. Lo hizo por primera vez a principios de este verano, en junio, cuando estuvo detrás de un gran ataque DDoS RPS de 17,2 millones que afectó a una empresa financiera estadounidense, según Cloudflare, que tenía la desagradable tarea de mitigar este ataque en particular.
 

Qrator Labs dijo que Meris se superó nuevamente durante un ataque que tuvo lugar el domingo 5 de septiembre, que alcanzó un hito aún mayor con 21,8 millones de RPS (request per second, peticiones por segundo).

  • 2021-08-07 - 5.2 millones RPS
  • 2021-08-09 - 6.5 millones RPS 
  • 2021-08-29 - 9.6 millones RPS
  • 2021-08-31 - 10.9 millones RPS
  • 2021-09-05 - 21.8 millones RPS

Gráfico de Yandex



Imagen: Qrator Labs

Qrator dijo que trabajó con Yandex para mitigar el ataque, que aparentemente estaba afectando a los servidores de Yandex. Pero una fuente involucrada en el incidente  que el objetivo del ataque era en realidad un banco ruso que mantenía su portal de banca electrónica en el servicio de alojamiento en la nube de Yandex.


La botnet consiste principalmente en dispositivos MikroTik comprometidos


Qrator dice que después de analizar la fuente de la mayor parte del tráfico de ataque, la mayor parte condujo a dispositivos de MikroTik, una pequeña empresa letona que vende equipos de red como enrutadores, puertas de enlace de IoT, puntos de acceso WiFi, conmutadores y equipos de redes móviles.

La compañía dijo que no fue capaz de determinar si el atacante encontró y utilizó como arma un día cero en el software de MikroTik o si simplemente están pasando por exploits.

No obstante, parece estar en juego un día cero, solo por la gran cantidad de dispositivos MikroTik que parecen haber sido secuestrados en la gigantesca malla de 250,000 de Mesir.


 

Pero además de traer de vuelta los ataques DDoS volumétricos (capa de aplicación), Meris también se destaca por su tamaño. En los últimos años, las botnets DDoS rara vez han llegado a 50.000 dispositivos infectados.

Esto se debió a que el código de varias cepas de malware DDoS se había publicado en línea hace años, incluido Mirai, y este código fue explotado masivamente para crear numerosas botnets que terminaron luchando entre sí por la cantidad limitada de dispositivos que podían infectar, con muy pocos. botnets que alcanzaron incluso pequeñas cifras de 15.000 en los últimos años, y mucho menos una cifra de 250.000, no vista desde finales de 2018.

 

 

 

 

 

 

 

 

 





El análisis de las fuentes del ataque reveló que se trataba de dispositivos con puertos abiertos 2000 y 5678 (2000 “Servidor de prueba de ancho de banda” y puerto 5678 “Protocolo de descubrimiento de vecinos Mikrotik”), combinación que sugiere la participación de sistemas Mikrotik.

“Aunque Mikrotik usa UDP para su servicio estándar en el puerto 5678, se detecta un puerto TCP abierto en los dispositivos comprometidos. Este tipo de disfraz podría ser una de las razones por las que sus propietarios hackearon los dispositivos sin que se dieran cuenta. Basándonos en esta información, decidimos sondear el puerto TCP 5678 con la ayuda de Qrator.Radar ". continúa el post.

Los investigadores descubrieron 328 723 hosts activos en Internet que respondían a la sonda TCP en el puerto 5678, sin embargo, los dispositivos Linksys también usan el servicio TCP en la misma publicación.

La botnet Mēris usa el proxy Socks4 en el dispositivo afectado (sin confirmar, aunque los dispositivos Mikrotik usan socks4) y usa la técnica de canalización HTTP (http / 1.1) para ataques DDoS.


Fuentes:

https://therecord.media/meet-meris-the-new-250000-strong-ddos-botnet-terrorizing-the-internet/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.