Un ataque DDoS es un ciberataque que tiene como objetivo interrumpir el funcionamiento normal de un servidor, servicio o red objetivo inundándolo con tráfico excesivo de Internet.
Esto se logra a través de una red de dispositivos comprometidos conocida como botnet, que envía una gran cantidad de solicitudes al objetivo, bloqueando efectivamente su ancho de banda y sus recursos.
Los analistas de NSFocus identificaron recientemente una botnet que se ha convertido en el rey de los ataques DDoS con más de 300.000 comandos. Esto se llama “GorillaBot”.
Fortalezca la seguridad con IA => Seminario web gratuito
GorillaBot emerge como el rey de los DDoS
En septiembre de 2024, la botnet Gorilla, una versión modificada del malware Mirai, lanzó una campaña de ciberataque sin precedentes.
En 24 días, emitimos más de 300.000 comandos de ataque DDoS dirigidos a 113 países y a los siguientes países más afectados:
China (20%) Estados Unidos (19%) Canadá (16%) Alemania (6%)
Esta botnet es compatible con la mayoría de las principales arquitecturas de CPU, incluidas ARM, MIPS, x86_64 y x86. Además, se utilizaron múltiples métodos de ataque, incluidos UDP Flood (41%), ACK BYPASS Flood (24%) y VSE Flood (12%).
vector de ataque
Gorilla Botnet apuntó a varios sectores como “universidades”, “sitios web gubernamentales”, “telecomunicaciones”, “bancos” y “plataformas de juegos”.
Hemos implementado múltiples técnicas para ocultar información confidencial utilizando algoritmos de cifrado asociados con el 'Grupo KekSec' y mantener el control a largo plazo sobre los dispositivos de IoT y los hosts de la nube.
La infraestructura de la botnet tiene cinco servidores C&C integrados, que se seleccionan aleatoriamente para las conexiones. Su arsenal incluye “19 vectores de ataque diferentes”, lo que, según NSFocus, representa un enfoque sofisticado.
Esta nueva amenaza demostró capacidades avanzadas de contradetección y destacó el “panorama en evolución” de las amenazas cibernéticas.
Una vulnerabilidad de acceso no autorizado en Hadoop Yarn RPC podría explotarse para otorgarle a un atacante privilegios elevados a través de una función llamada Yarn_init.
GorillaBot crea múltiples archivos de sistema y scripts para lograr persistencia. Los discutiremos a continuación.
“El archivo 'custom.service' en /etc/systemd/system/ para el inicio automático.” “Cambia a /etc/inittab, /etc/profile.” “/boot/ para ejecutarse al iniciar el sistema o iniciar sesión como usuario”. “. “El script 'mybinary' en /etc/init.d/ y un enlace suave en /etc/rc.d/rc.local o /etc/rc.conf. ”
Estos mecanismos descargan y ejecutan automáticamente un script malicioso llamado 'lol.sh' desde http(:)//pen.gorillafirewall.su/.
El malware también incluye una función “anti-honeypot” que comprueba la presencia del “sistema de archivos/proc” para detectar posibles trampas de seguridad.
El uso de GorillaBot de un método de cifrado específico, el nombre del script “lol.sh” y una firma de código específica sugieren una posible conexión con “KekSec”.
COI
276adc6a55f13a229a5ff482e49f3a0b 63cbfc2c626da269c67506636bb1ea30 7f134c477f307652bb884cafe98b0bf2 3a3be84df2435623132efd1cd9467b17 a59 780b4c5a3c990d0031c959bf7cc 5b37be51ee3d41c07d02795a853b8577 15f6a606ab74b66e1f7e4a01b4a6b2d7
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
GorillaBot Emerged As King For DDoS Attacks With 300,000+ Commands
