Actualizado el Malware RapperBot que ahora hacía los servidores de juegos provocando ataques DDoS

por Pablo Álvarez Corredera
Actualizado el Malware RapperBot que ahora hacía los servidores de juegos provocando ataques DDoS

La botnet RapperBot basada en Mirai ha resurgido a través de una nueva campaña que infecta los dispositivos IoT y se encarga de generar ataques DDoS (Distributed Denial of Service) contra servidores de juegos.

El malware fue descubierto por investigadores de Fortinet en Agosto, cuando utilizó fuerza bruta SSH para propagarse en los servidores de Linux.

Al rastrear sus actividades, los investigadores descubrieron que RapperBot ha estado operativo desde Mayo de 2021, pero que sus objetivos eran difíciles de descifrar.

Descubren una nueva botnet contra el navegador Chrome llamada Cloud9

En su lugar, la variante más reciente utiliza un mecanismo de autopropagación de Telnet que se acerca más al enfoque del malware Mirai original.

Además, la motivación de la campaña actual es más evidente, ya que los comandos DoS en la última variante están diseñados para ataques contra servidores que alojan juegos en línea.

Examinando RapperBot

Los analistas de Fortinet pudieron probar la nueva variante utilizando artefactos de comunicación C2 recopilados en campañas anteriores, lo que indica que este aspecto del funcionamiento de la botnet no ha cambiado.

Los analistas notaron que la nueva variante presentaba varias diferencias incluida la compatibilidad con la fuerza bruta de Telnet, utilizando los siguientes comandos:

  • Registro (utilizado por el cliente)
  • Keep-Alive/No hacer nada
  • Detener todos los ataques DoS y finalizar el cliente
  • Realizar un ataque DoS
  • Detener todos los ataques DoS
  • Reiniciar la fuerza bruta de Telnet
  • Detener la fuerza bruta de Telnet

El malware intenta usar dispositivos de fuerza bruta utilizando credenciales débiles comunes de una lista codificada, mientras que anteriormente obtenía una lista del C2.

RELACIONADOS:  FBI Interrumpe la Botnet rusa Moobot encargada de Infectar los Routers de Ubiquiti

Después de encontrar las credenciales con éxito, lo informa al C2 a través del puerto 5123 y luego intenta obtener e instalar la versión correcta del binario de carga principal para la arquitectura del dispositivo detectado.

Las capacidades DoS en la variante anterior de RapperBot eran muy limitadas y genéricas.

Sin embargo, en la última variante, la verdadera naturaleza del malware se hizo evidente con la adición de un amplio conjunto de comandos de ataque DoS como:

  • Inundación UDP genérica
  • Inundación TCP SYN
  • Inundación TCP ACK
  • Inundación TCP STOMP
  • UDP SA:MP servidores de juegos de segmentación por inundación que ejecutan GTA San Andreas: multijugador (SA:MP)
  • Inundación de Ethernet GRE
  • Inundación IP GRE
  • Inundación TCP genérica

Basado en los métodos HTTP DoS, el malware parece estar especializado en lanzar ataques contra servidores de juegos.

Esta campaña agrega ataques DoS contra el protocolo GRE y el protocolo UDP utilizados por el mod Grand Theft Auto: San Andreas Multi Player, se declara en el informe de Fortinet.

Probablemente bajo los mismos operadores

Fortinet cree que todas las campañas de RapperBot detectadas están orquestadas por los mismos operadores, ya que las variantes más nuevas indican el acceso al código fuente del malware.

Además, el protocolo de comunicación C2 permanece sin cambios, la lista de credenciales utilizadas para los intentos de fuerza bruta ha sido la misma desde agosto de 2021.

Para proteger tus dispositivos IoT de infecciones de botnets, mantén el firmware actualizado y cambia las credenciales predeterminadas por una contraseña segura y única, procurar un firewall siempre que sea posible.

Relacionado

Descubren una nueva botnet contra el navegador Chrome llamada Cloud9
RELACIONADOS:  ¿Qué es una botnet? Cómo saber si mi computadora se encuentra en una

La nueva botnet de Cloud9 está usando extensiones maliciosas para robar cuentas en línea, registrar pulsaciones de teclas, inyectar anuncios, inyectar código JS malicioso y reclutar el navegador de la víctima en ataques DDoS. La botnet del navegador Cloud9 es un troyano de acceso remoto (RAT) para el navegador web Chromium, incluidos Google Chrome y Microsoft Edge, lo que permite que el grupo de piratas ejecute ¡SEGUIR LEYENDO!

FBI Interrumpe la Botnet rusa Moobot encargada de Infectar los Routers de Ubiquiti

El FBI desmanteló una botnet de enrutadores para pequeñas oficinas/oficinas domésticas (SOHO) utilizados por la Dirección Principal de Inteligencia del Estado Mayor (GRU) de Rusia para enviar tráfico malicioso y atacar a Estados Unidos y sus aliados en ataques de phishing y robo de credenciales. Esta red de cientos de enrutadores Ubiquiti Edge OS infectados con malware Moobot estaba controlada por la Unidad Militar GRU 26165, ¡SEGUIR LEYENDO!

Google Defiende el Ataque DDoS más Poderoso de la Historia: Casi 400 millones de solicitudes por segundo

Google informó sobre el ataque DDoS más fuerte de la historia, que fue repelido con éxito en agosto pasado: su intensidad fue de 398 millones de solicitudes por segundo, 7,5 veces más fuerte que el récord establecido el año pasado. La campaña maliciosa también identificó nuevos métodos para piratear sitios web y servicios. La nueva serie de ataques DDoS aprovechó una nueva técnica de reinicio rápido ¡SEGUIR LEYENDO!

Cómo ejecutar un ataque DoS (denegación de servicio), DDOS o Ping de la Muerte

Cortar algunos negocios de Internet puede conducir a una pérdida significativa de negocios o dinero. Internet y las redes informáticas alimentan a muchas empresas. Algunas organizaciones, como las pasarelas de pago, los sitios de comercio electrónico dependen completamente de Internet para hacer negocios. Contenido pendiente de una última revisión. ¿Qué es un ataque DDoS? DOS es un ataque utilizado para negar a los usuarios legítimos el ¡SEGUIR LEYENDO!

RELACIONADOS:  Google Defiende el Ataque DDoS más Poderoso de la Historia: Casi 400 millones de solicitudes por segundo
¿Qué es una botnet? Cómo saber si mi computadora se encuentra en una

Las botnets son una fuente importante de malware, ransomware, spam y más. Pero, ¿Qué es una red de bots? ¿Cómo llegan a existir? ¿Quién los controla? ¿Cómo podemos detenerlas? https://ciberninjas.com/hacking-etico/ Uno de mis términos favoritos de ciberseguridad es la palabra botnet. El término evoca a todo tipo de pensamientos: Robots interconectados, legiones de trabajadores en red que se impulsan simultáneamente hacia un solo objetivo. Curiosamente, la ¡SEGUIR LEYENDO!

¿Qué son los bots buenos?, Cómo se diferencian de los bots malos

Los bots pueden ayudar con tareas simples o automatizar la atención al cliente, pero también pueden eliminar spam o noticias falsas. Si hay algo sobre lo que todo el mundo en línea tiene una opinión, son los bots. Están en todas partes, dándote la bienvenida y guiándote a través de páginas web y enviándote memes en chats grupales. Pero algunos bots envían spam a su correo ¡SEGUIR LEYENDO!

¿Qué son los bots de redes sociales? Explicación, cuentas maliciosas y cómo detectarlas

El término "bot de redes sociales" ya no se asocia solo con los chatbots o la IA de servicio al cliente. Más bien, los bots de las redes sociales tienen una reputación mucho peor a día de hoy, debido a las campañas maliciosas de desinformación. Pero, ¿qué son exactamente estos bots sociales maliciosos? ¿Cómo identificas los diferentes tipos? ¿Existen herramientas que puedan ayudarlo a diferenciar las ¡SEGUIR LEYENDO!

Salir de la versión móvil