KrebsOnSecurity golpeado por la nueva y enorme botnet de IoT «Meris» – Krebs on Protection


El jueves por la noche, KrebsOnSecurity fue objeto de un ataque distribuido de denegación de servicio (DDoS) bastante masivo (y afortunadamente breve). El asalto vino de «Meris, «La misma nueva botnet detrás de los ataques que batieron récords contra el gigante de las búsquedas ruso Yandex esta semana y la empresa de infraestructura de Internet Cloudflare a principios de este verano.

Cloudflare recientemente escribió sobre su ataque, que registró 17.2 millones de solicitudes falsas por segundo. Para poner eso en perspectiva, Cloudflare atiende más de 25 millones de solicitudes HTTP por segundo en promedio.

En su artículo del 19 de agosto, Cloudflare se olvidó de asignar un nombre a la botnet detrás del ataque. Pero el jueves la firma de protección DDoS Laboratorios Qrator identificó al culpable – «Meris»: un nuevo monstruo que surgió por primera vez a fines de junio de 2021.

Qrator dice que Meris ha lanzado ataques aún mayores desde: Un ataque DDoS titánico y continuo que golpeó al gigante ruso de búsquedas en World wide web. Yandex Se estima que la semana pasada fue lanzada por aproximadamente 250.000 dispositivos infectados con malware en todo el mundo, enviando 21,8 millones de solicitudes falsas por segundo.

Si bien el ataque Meris de anoche en este sitio fue mucho más pequeño que el reciente Cloudflare DDoS, fue mucho más grande que el ataque Mirai DDoS en 2016 que mantuvo a KrebsOnSecurity fuera de línea durante casi cuatro días. La avalancha de tráfico del ataque del jueves en este sitio fue más de cuatro veces mayor que lo que Mirai arrojó en este sitio hace cinco años. Este último ataque involucró más de dos millones de solicitudes por segundo. En comparación, el Mirai DDoS de 2016 generó aproximadamente 450.000 solicitudes por segundo.

Según Qrator, que está trabajando con Yandex para combatir el ataque, Meris parece estar compuesto por enrutadores de Web producidos por MikroTik. Qrator dice que Estados Unidos alberga la mayor cantidad de enrutadores MikroTik que son potencialmente vulnerables al compromiso de Meris, con más del 42 por ciento de los sistemas MikroTik del mundo conectados a Online (seguido de China, 18,9 por ciento) y una larga cola de países de uno y dos por ciento).

Las áreas más oscuras indican concentraciones más grandes de enrutadores MikroTik potencialmente vulnerables. Qrator dice que hay alrededor de 328,000 dispositivos MikroTik que actualmente responden a solicitudes de Net. Imagen: Qrator.

No está claro de inmediato qué vulnerabilidades de seguridad llevaron a estos 250,000 enrutadores MikroTik estimados a ser pirateados por Meris.

«El espectro de versiones de RouterOS que vemos en esta botnet varía de años a recientes», escribió la compañía. «La mayor parte pertenece a la versión de firmware anterior a la estable actual».

Desglose de Qrator de los dispositivos MikroTik infectados con Meris por versión del sistema operativo.

Es apropiado que Meris asomara la cabeza en el quinto aniversario de la aparición de Mirai, una cepa de botnet de World-wide-web de las cosas (IoT) que fue diseñada para competir con todas las demás cepas de botnet de IoT en ese momento. Mirai tuvo un gran éxito al desplazar a esta competencia y rápidamente creció hasta infectar a decenas de miles de dispositivos IoT fabricados por docenas de fabricantes.

Y luego, sus coautores decidieron filtrar el código fuente de Mirai, lo que llevó a la proliferación de docenas de variantes de Mirai, muchas de las cuales continúan funcionando en la actualidad.

El mayor contribuyente al problema de la botnet de IoT, una plétora de empresas que etiquetan dispositivos de IoT que nunca se diseñaron teniendo en cuenta la seguridad y que a menudo se envían al cliente en estados inseguros por defecto, no ha cambiado mucho, principalmente porque estos dispositivos tienden ser mucho más barato que las alternativas más seguras.

La buena noticia es que durante los últimos cinco años, las grandes empresas de infraestructura de Internet como Akamai, Cloudflare y Google (que protege este sitio con su Iniciativa Task Defend) han invertido mucho en aumentar su capacidad para resistir estos ataques descomunales [full disclosure: Akamai is an advertiser on this site].

Y lo que es más importante, la comunidad de World-wide-web en typical ha mejorado a la hora de poner sus cabezas juntas para luchar contra los ataques DDoS, al interrumpir la infraestructura de la que abusan estas enormes redes de bots de IoT, dijo. Richard Clayton, Director de Centro de ciberdelincuencia de la Universidad de Cambridge.

“Sería justo decir que actualmente estamos preocupados por un par de botnets que son más grandes de lo que hemos visto en algún tiempo”, dijo Clayton. “Pero igualmente, nunca se sabe que pueden desaparecer. Hay muchas personas que pasan su tiempo tratando de asegurarse de que estas cosas sean difíciles de mantener estables. Así que hay gente defendiéndonos a todos «.



Enlace a la noticia original