¿Qué es la botnet Mirai?

El malware Mirai aprovecha los problemas de seguridad de los dispositivos IoT, y tiene el potencial de convertir el poder colectivo de millones de dispositivos IoT en botnets, y lanzar ataques.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Más información sobre la botnet Mirai
  • Más información sobre cómo están mutando las botnets
  • Más información acerca de por qué las botnets son peligrosas
  • Más información sobre cómo están relacionados los dispositivos IoT y las botnets

Copiar enlace del artículo

¿Qué es Mirai?

Mirai es un malware que infecta dispositivos inteligentes que funcionan con procesadores ARC, convirtiéndolos en una red de bots controlados a distancia o "zombies". Esta red de bots, llamada botnet, se suele utilizar para lanzar ataques DDoS.

Malware, la abreviatura de software malicioso, es un término general que incluye gusanos informáticos, virus, troyanos, rootkits y spyware.

En septiembre de 2016, los creadores del malware Mirai lanzaron un ataque DDoS contra el sitio web de un conocido experto en seguridad. Una semana más tarde sacaron a la luz el código fuente, posiblemente para intentar ocultar los orígenes de ese ataque. Este código lo replicaron rápidamente otros ciberdelincuentes, y se cree que está detrás del ataque masivo que hizo caer al proveedor de servicios de registro de dominios, Dyn, en octubre de 2016.

¿Cómo funciona Mirai?

Mirai escanea Internet en busca de dispositivos IoT que se ejecutan con el procesador ARC. Este procesador ejecuta una versión reducida del sistema operativo Linux. Si no se cambia la combinación por defecto de nombre de usuario y contraseña, Mirai puede entrar en el dispositivo e infectarlo.

IoT, la abreviatura de Internet de las cosas, no es más que un término sofisticado para hacer referencia a los dispositivos inteligentes que pueden conectarse a Internet. Estos dispositivos pueden ser monitores de bebés, vehículos, enrutadores de red, dispositivos agrícolas, dispositivos médicos, dispositivos de control ambiental, electrodomésticos, DVR, cámaras CC, auriculares o detectores de humo.

La botnet Mirai empleó cien mil dispositivos IoT secuestrados para hacer caer a Dyn.

¿Quiénes fueron los creadores de la botnet Mirai?

Paras Jha y Josiah White, de 21 y 20 años respectivamente, cofundaron Protraf Solutions, una empresa que ofrecía servicios de mitigación de ataques DDoS. El suyo era un caso clásico de chantaje: su empresa ofrecía servicios de mitigación de DDoS a las mismas organizaciones a las que atacaba su malware.

¿Por qué sigue siendo peligroso el malware Mirai?

El Mirai está mutando.

Aunque se detuvo a sus creadores originales, su código fuente sigue vivo. Ha dado lugar a variantes como el Okiru, el Satori, el Masuta y el PureMasuta. Por ejemplo, el PureMasuta es capaz de convertir en arma el fallo HNAP de los dispositivos D-Link. Por su parte, la cepa OMG transforma los dispositivos IoT en proxies que permiten que los ciberdelincuentes permanezcan en el anonimato.

También hay una poderosa botnet descubierta recientemente, que se la conoce como IoTrooper y Reaper, que es capaz de poner en riesgo a dispositivos IoT a un ritmo mucho más rápido que Mirai. Reaper puede dirigirse a un mayor número de fabricantes de dispositivos, y tiene un control mucho mayor sobre sus bots.

¿Cuáles son los distintos modelos de botnet?

Botnets centralizadas

Si pensamos en una botnet como si fuera una obra de teatro, el servidor C&C (Servidor de mando y control, también conocido como C2) sería el director. Los actores de esta obra serían los distintos bots que una infección de malware ha puesto en riesgo, y que han pasado a formar parte de la botnet.

Cuando el malware infecta un dispositivo, el bot envía señales temporizadas para informar al C&C de que ahora existe. Esta sesión de conexión se mantiene abierta hasta que el C&C esté preparado para ordenar al bot lo que se le indique, lo cual puede incluir envío de spam, descifrado de contraseñas, ataques DDoS, etc.

En una botnet centralizada, el C&C puede transmitir las órdenes directamente a los bots. Sin embargo, el C&C es también un punto único de fallo: si cae, la botnet se vuelve ineficaz.

C&C en niveles

El control de la botnet se puede organizar en varios niveles, con múltiples C&C. Los grupos de servidores específicos pueden ser designados para un propósito específico, por ejemplo, para organizar los bots en subgrupos, para entregar contenido designado, etc. Esto hace que la botnet sea más difícil de derribar.

Botnet descentralizadas

Las botnets peer-to-peer (P2P) son la próxima generación de botnets. En lugar de comunicarse con un servidor centralizado, los bots P2P actúan como servidor de comandos y como cliente que recibe los mismos. Esto evita el problema del punto único de fallo inherente a las botnets centralizadas. Ya que las botnets P2P funcionan sin un C&C, son más difíciles de cerrar. Trojan.Peacomm y Stormnet son ejemplos de malware detrás de botnets P2P.

¿Cómo convierte el malware los dispositivos IoT en bots o zombies?

En general, el phishing por correo electrónico es una forma que se ha demostrado muy eficaz para infectar ordenadores: se engaña a la víctima para que haga clic en un enlace que dirige a un sitio web malicioso o descargue un archivo adjunto infectado. Muchas veces, el código malicioso está escrito de tal manera que el software antivirus típico no es capaz de detectarlo.

En el caso de Mirai, el usuario no necesita hacer mucho más que dejar sin cambiar el nombre de usuario y la contraseña por defecto en un dispositivo recién instalado.

¿Cuál es la conexión entre Mirai y el fraude de clics?

El pago por clic (PPC), también conocido como coste por clic (CPC), es una forma de publicidad en línea en la que una empresa paga a un sitio web por alojar su anuncio. El pago depende de cuántos visitantes de ese sitio hayan hecho clic en el anuncio.

Cuando los datos del CPC se manipulan de forma fraudulenta, se conoce como fraude de clics. Esto puede hacerse si se fuerza a la gente a que haga clic manualmente en el anuncio, mediante el uso de software automatizado o con bots. Mediante este proceso, se pueden generar beneficios fraudulentos para el sitio web a costa de la empresa que coloca esos anuncios.

A los autores originales de Mirai se les condenó por alquilar su botnet para ataques DDoS y fraudes de clics.

¿Por qué son peligrosas las botnets?

Las botnets tienen el potencial de afectar a prácticamente todos los aspectos de la vida de una persona, tanto si utiliza dispositivos IoT como si no, o incluso Internet. Las botnets pueden:

  • Atacar a los ISP, en ocasiones provocando una denegación de servicio al tráfico legítimo
  • Enviar correo electrónico de spam
  • Lanzar ataques DDoS y hacer caer sitios web y API
  • Llevar a cabo un fraude de clics
  • Resolver los desafíos de CAPTCHA débiles en los sitios web para imitar el comportamiento humano durante los inicios de sesión
  • Robar información de tarjetas de crédito
  • Pedir un rescate a las empresas con amenazas de ataques DDoS

¿Por qué la proliferación de botnets es tan difícil de contener?

Hay muchas razones por las que es tan difícil detener la proliferación de botnets:

Propietarios de dispositivos IoT

No hay ningún coste ni se producen interrupciones del servicio, así que no hay incentivos para asegurar el dispositivo inteligente.

Los sistemas infectados pueden limpiarse reiniciando, pero como el escaneado de posibles bots se produce a un ritmo constante, es posible que se vuelvan a infectar a los pocos minutos de reiniciar. Esto significa que los usuarios deben cambiar la contraseña por defecto inmediatamente después de haber reiniciado. O deben impedir que el dispositivo acceda a Internet hasta que puedan restablecer el firmware, y cambiar la contraseña cuando no estén conectados. La mayoría de los propietarios de dispositivos no tienen ni los conocimientos ni la motivación para hacerlo.

ISP

El aumento del tráfico en su red procedente del dispositivo infectado no suele compararse con el tráfico que genera la transmisión de medios, así que no suele haber mucho incentivo para preocuparse por ello.

Fabricantes de dispositivos

Hay pocos incentivos para que los fabricantes de dispositivos inviertan en la seguridad de los dispositivos de bajo coste. Hacerles responsables de los ataques podría ser una forma de forzar el cambio, aunque puede que esto no funcionara en regiones con leyes de cumplimiento más laxas.

Ignorar la seguridad de los dispositivos es muy peligroso: Mirai, por ejemplo, es capaz de desactivar el software antivirus, lo que hace que su detección sea un reto.

Magnitud

Con más de mil millones y medio de dispositivos basados en procesadores ARC inundando el mercado cada año, el gran número de dispositivos que pueden ser reclutados en potentes botnets significa que estas variantes de malware han aumentado su posible impacto.

Simplicidad

Los kits de botnets listos para su uso evitan la necesidad de tener conocimientos técnicos. Por 14,99-19,99 $, se puede alquilar una botnet para todo un mes. Consulta ¿Qué es un gestor de arranque/acentuador de DDoS? para más detalles.

Normas globales de seguridad para IoT

No existe una entidad global, ni un consenso, para definir y hacer cumplir las normas de seguridad del IoT.

Aunque hay disponibles parches de seguridad para algunos dispositivos, es posible que los usuarios no tengan la habilidad, o el incentivo, para realizar la actualización. Muchos fabricantes de dispositivos de gama baja no ofrecen ningún tipo de mantenimiento. En el caso de los que sí lo hacen, no suele ser a largo plazo. Tampoco hay forma de dar de baja los dispositivos una vez que ya no se mantienen las actualizaciones, lo cual los hace inseguros de forma indefinida.

Aplicación global de la ley

La dificultad para localizar y llevar a juicio a los creadores de botnets dificulta la contención de la proliferación los mismos; no existe un equivalente mundial de la Interpol (Organización Internacional de Policía Criminal) para la ciberdelincuencia, con las correspondientes capacidades de investigación. Las fuerzas de seguridad de todo el mundo no suelen estar a la altura de los ciberdelincuentes en lo que respecta a contar con la tecnología más reciente.

Muchas botnets emplean ahora una técnica de DNS llamada Flujo rápido para ocultar los dominios que utilizan para descargar malware, o para alojar sitios de phishing. Esto hace que sea extremadamente difícil rastrearlas y acabar con ellas.

¿Una infección de botnet degrada el rendimiento de los dispositivos IoT?

Es posible. De vez en cuando, los dispositivos infectados pueden funcionar con lentitud, pero la mayoría de las veces funcionan como es debido. Los propietarios no tienen una gran motivación para encontrar formas de acabar con la infección.

Anexo

Una legislación que se encuentra en la mesa del gobernador de California, Jerry Brown, exige que los dispositivos del IoT tengan funciones de seguridad razonables "adecuadas a la naturaleza y función del dispositivo". Esto entraría en vigor en enero de 2020.

¿Por qué es tan importante esta legislación? El lucrativo mercado de California hace imposible que las empresas puedan ignorarla. Si quieren vender en California, tendrán que mejorar la seguridad de sus dispositivos. Esto beneficiará a todos los estados.

Ventas