Mirai, troyano que amenaza al IoT y a servidores Linux

Se ha detectado de forma muy reciente, un nuevo troyano llamado Mirai, caracterizado por ser capaz de realizar ataques DDoS contra dispositivos IoT (Internet of Things/Internet de las Cosas) y servidores Linux. Este malware es resultado de la evolución de otro similar que ha tenido otros nombres en el pasado, como Gafgyt, Lizkebab, BASHLITE, Bash0day, Bashdoor y Torlus.

Gafgyt, el anterior a Mirai consiguió infectar a un millón de dispositivos IoT durante el pasado mes, por lo que tenemos que tener cuidado. Por otro lado, también hay un ladrón que está ejecutando una botnet impulsada con Gafgyt compuesta por 120.000 bots.

troyano text

Características y modo de actuación

Mirai opera de la misma forma que Gafgyt, teniendo como objetivo dispositivos IoT que ejecutan Busybox, una versión reducida de un conjunto de librerías y herramientas de GNU utilizado sobre todo en dispositivos reducidos.

El troyano afecta a plataformas como ARM, ARM7, MIPS, PPC, SH4, SPARC y x86, por lo que desde una Raspberry Pi hasta un potente ordenador o servidor Intel corren riesgo de quedar infectado.

Como método de infección, Mirai emplea ataques de fuerza bruta a través del puerto de Telnet utilizando una lista de credenciales de administrador por defecto, teniendo como objetivo los dispositivos a los cuales sus propietarios se les ha olvidado cambiar la contraseña por defecto. Una vez infectado el dispositivo, el troyano se pone en contacto con su servidor de mando y control a la espera de órdenes. Además de ataques DDoS, también puede realizar ataques de fuerza bruta para expandirse a otros dispositivos.

Se tiene sospechas de que este malware tiene como objetivos prioritarios los grabadores de vídeos digitales (DVR) y las cámaras IP. Por otro lado, parece que buena parte del código de Gafgyt ha sido incluido directamente en Mirai. Aquí podéis ver los tipos de ataques de DDoS que existen hoy en día en el mercado.

Recomendaciones y consejos a seguir

Se recomienda a los administradores de sistema filtrar el tráfico generado por Mirai para evitar infecciones tanto en los servidores Linux como en los dispositivos IoT que utilicen variantes de dicho sistema.

Además para reducir el daño de estos ataques hay que seguir varios consejos como bloquear IPs, aplicar los filtros necesarios, enviar al cliente una cookie con la información SYN cifrada y configurar a los servidores en balanceadores de carga.

Community Manager y apasionada de las redes sociales

 

Acerca de

Nethive es una consultora tecnológica independiente especializada en la prestación de servicios informáticos con amplia experiencia en el sector de las telecomunicaciones.

En este blog nuestros técnicos publican información relevante sobre la industria tecnológica internacional, imprescindible para conocer, por ejemplo, ciberataques y riesgos que puedan comprometer la seguridad de su empresa.

Solicitar presupuesto sin compromiso

Ofrecemos servicios informáticos que ayudarán a su empresa a ser más eficiente, efectiva y competitiva. Si cree que podríamos encajar en sus necesidades, deje que nos pongamos en contacto.