La botnet Mirai es una de las mayores amenazas informáticas que está poniendo en peligro Internet desde el año 2016. Lo que busca esta botnet es tomar el control de todo tipo de dispositivos y equipos (desde routers hasta dispositivos del Internet de las Cosas) utilizando la fuerza bruta, o aprovechándose de exploits, de manera que, tras tomar el control de cualquier dispositivo, este pase a formar parte de la botnet, una red de equipos zombie utilizada para todo tipo de ataques y acciones ilegales, como envío masivo de SPAM o ataques DDoS.
Los responsables originales de Mirai habían sido detenidos hace ya bastante tiempo, sin embargo, a día de hoy esta botnet está siendo controlada por otro grupo diferente de piratas informáticos, quienes, además de hacerla mucho más grande y peligrosa, están comercializando sus servicios, pudiendo alquilar la botnet, o parte de ella, para llevar a cabo las tareas que queramos.
Llega una nueva variante de Mirai más peligrosa que nunca
La firma de seguridad Trend Micro acaba de detectar una nueva variante de este peligroso malware, llamada «Backdoor.Linux.MIRAI.VWIPT«, que está buscando la forma de tomar el control de cualquier router o dispositivo del internet de las Cosas que esté mal protegido en la red.
Esta nueva variante de Mirai es diferente a las demás. Mientras que las anteriores utilizaban fuerza bruta o estaban diseñadas para tomar el control de los dispositivos a través de una o dos vulnerabilidades, esta nueva variante incluye un total de 13 exploits diferentes que utiliza para romper la seguridad de los dispositivos y poder controlarlos.
Los exploits que vienen incluidos en esta nueva variante de la botnet para infectar más dispositivos son:
- Vacron NVR CVE: fallo de seguridad en grabadores de vídeo NVR para ejecutar código.
- CVE-2018-10561, CVE-2018-10562: fallos en varias GPON que se saltan la pantalla de login y permiten inyectar código.
- CVE-2015-2051: fallo en dispositivos HNAP de D-Link que permite ejecutar comandos.
- CCTV-DVR RCE: varias vulnerabilidades en múltiples equipos CCTV-DVR.
- CVE-2014-8361: fallo en Universal Plug and Play (UPnP) que permite ejecutar código en los dispositivos.
- UPnP SOAP TelnetD command execution: fallo en varios dispositivos D-Link que permite ejecutar código a través de comandos UPnP SOAP.
- Eir WAN side remote command injection: ejecución de comandos de forma remota en equipos Eir D1000.
- Netgear Setup.cgi RCE: una vulnerabilidad en dispositivos Netgear que permite tomar el control de ellos.
- CVE-2016-6277: similar a la anterior, pero que afecta a otros dispositivos de Netgear, como el R7000 y el R6400.
- MVPower DVR shell command execution: fallo de seguridad que permite ejecutar código en grabadores MVPower.
- CVE-2017-17215: ejecución de código remoto en routers Huawei HG532.
- Linksys RCE: vulnerabilidad en los routers Linksys E.
- ThinkPHP 5.0.23/5.1.31 RCE: fallo de seguridad en el framework de código abierto ThinkPHP.
Como podemos ver, la mayoría de las vulnerabilidades que utiliza la botnet Mirai para infectar dispositivos son fallos de seguridad con más de 4 años de antigüedad. Sin embargo, tal como se ha demostrado recientemente, la mayoría de estas vulnerabilidades aún se podían explotar a finales de 2018 en un gran número de equipos y dispositivos, siendo por esto por lo que los piratas informáticos han decidido crear esta nueva variante de Mirai que une todos estos exploits que, en ocasiones anteriores, han sido explotados de forma individual.
Esta nueva variante de Mirai es una de las más completas y peligrosas que podemos encontrar en la red, y por ello, debemos extremar las precauciones para poder protegernos de ella.
Cómo protegernos de esta y otras variantes de Mirai
A diferencia de la forma de infectarnos con malware (que la mayoría de las veces suele ser por nuestra culpa, por acceder a un recurso o una descarga maligna), la botnet Mirai está constantemente analizando toda la red en busca de cualquier tipo de dispositivo potencialmente vulnerable. Cuando da con él intenta tomar el control del mismo utilizando sus exploits o mediante ataques de fuerza bruta para adivinar la contraseña.
Para no terminar en las garras de los piratas informáticos, las dos prácticas de seguridad que debemos llevar a cabo tanto en nuestros routers como en cualquier otro dispositivo que tengamos conectado a Internet son, asegurarnos de que estamos utilizando la última versión del firmware de manera que, en un principio, podamos estar protegidos de las vulnerabilidades. La segunda de estas prácticas de seguridad, y muy importante, es asegurarnos de cambiar la contraseña por defecto por otra más segura y robusta.
Con estas dos prácticas evitaremos que la botnet Mirai pueda infectar nuestro router o nuestros dispositivos del Internet de las Cosas conectados.
En caso de que tengamos sospechas de que cualquiera de nuestros equipos forma parte de esta botnet, la mejor forma de acabar con esta amenaza es instalando el último firmware completo desde cero en el dispositivo, ya que el malware Mirai suele copiarse en partes críticas de los dispositivos, por lo que restablecer los valores de fábrica no sirve de nada.