Un actor de amenazas llamado Matrix ha sido vinculado a una campaña generalizada de denegación de servicio (DoD) que aprovecha las vulnerabilidades y configuraciones erróneas en los dispositivos de Internet de las cosas (IoT) para incluirlos en una botnet disruptiva.
“Esta operación sirve como una ventanilla única integral para escanear, explotar vulnerabilidades, implementar malware y configurar kits de tienda, mostrando un enfoque de “hágalo todo usted mismo” ante los ciberataques”, Assaf Morag, director de inteligencia de amenazas en seguridad en la nube. empresa Aqua, dijo.
Hay pruebas que sugieren que la operación es obra de un actor lobo solitario, un guionista de origen ruso. Los ataques se han dirigido principalmente a direcciones IP ubicadas en China, Japón y, en menor medida, Argentina, Australia, Brasil, Egipto, India y Estados Unidos.
La ausencia de Ucrania en la huella de victimología indica que los atacantes están impulsados puramente por motivaciones financieras, dijo la firma de seguridad en la nube.
Las cadenas de ataques se caracterizan por la explotación de fallos de seguridad conocidos, así como de credenciales débiles o predeterminadas, para obtener acceso a un amplio espectro de dispositivos conectados a Internet, como cámaras IP, DVR, enrutadores y equipos de telecomunicaciones.
También se ha observado que el actor de amenazas aprovecha servidores Telnet, SSH y Hadoop mal configurados, con un enfoque particular en rangos de direcciones IP asociados con proveedores de servicios en la nube (CSP) como Amazon Web Services (AWS), Microsoft Azure y Google Cloud.
La actividad maliciosa se basa además en una amplia gama de scripts y herramientas disponibles públicamente en GitHub, que en última instancia implementan el malware botnet Mirai y otros programas relacionados con DDoS en dispositivos y servidores comprometidos.
Esto incluye PYbot, pynet, DiscordGo, Homo Network, un programa JavaScript que implementa un ataque de inundación HTTP/HTTPS y una herramienta que puede deshabilitar la aplicación Microsoft Defender Antivirus en máquinas con Windows.
También se descubrió que Matrix utiliza una cuenta propia de GitHub que abrieron en noviembre de 2023 para presentar algunos de los artefactos DDoS utilizados en la campaña.
También se cree que toda la oferta se anuncia como un servicio DDoS de alquiler a través de un bot de Telegram llamado “Kraken Autobuy” que permite a los clientes elegir entre diferentes niveles a cambio de un pago en criptomonedas para realizar los ataques.
“Esta campaña, aunque no es muy sofisticada, demuestra cómo las herramientas accesibles y el conocimiento técnico básico pueden permitir a las personas ejecutar un ataque amplio y multifacético contra numerosas vulnerabilidades y configuraciones erróneas en dispositivos conectados a la red”, dijo Morag.
“La simplicidad de estos métodos resalta la importancia de abordar prácticas de seguridad fundamentales, como cambiar las credenciales predeterminadas, proteger los protocolos administrativos y aplicar actualizaciones de firmware oportunas, para protegerse contra ataques amplios y oportunistas como este”.
La divulgación se produce cuando NSFOCUS arroja luz sobre una familia de botnets evasivas denominada XorBot que se ha dirigido principalmente a cámaras y enrutadores Intelbras de NETGEAR, TP-Link y D-Link desde noviembre de 2023.
“A medida que aumenta el número de dispositivos controlados por esta botnet, los operadores detrás de ella también han comenzado a participar activamente en operaciones rentables, anunciando abiertamente servicios de alquiler de ataques DDoS”, dijo la compañía de ciberseguridad, añadiendo que la botnet se anuncia bajo el nombre de Masjesu.
“Al mismo tiempo, al adoptar medios técnicos avanzados, como insertar código redundante y ofuscar firmas de muestra, han mejorado las capacidades defensivas a nivel de archivos, haciendo que su comportamiento de ataque sea más difícil de monitorear e identificar”.