Hace unos años descubrimos a Mirai, una botnet que supo aprovechar el potencial y la inseguridad de los dispositivos IoT para lanzar ataques de DDoS. Sus creadores la fueron modificando, añadiendo la habilidad de atacar routers, hacer caer a grandes empresas y haciendo la vida imposible a los responsables de seguridad e infraestructuras de medio mundo. Mirai no ha llegado a desaparecer. Echobot o Mukashi son algunas de sus variantes.
Y mientras grupos de ciberdelincuentes sigue experimentando con su código, disponible en GitHub desde 2016 para quien quiera reutilizarlo, investigadores de Akamai han descubierto una nueva botnet DDoS. Desarrollada por los mismos que crearon a Mirai, la nueva botnet se llama HinataBot y tiene el potencial de causar un daño mucho mayor con muchos menos recursos requeridos que su predecesor.
Dice Akamai a través de un post que el investigador que ha escogido el nombre de Hinata lo ha hecho en honor a un personaje de la serie de anime Naruto. Su existencia se ha detectado a través de los honeypots HTTP y SSH de Akamay, que asegura que la botnet “se está actualizando activamente”.
Dicen los investigadores de Akamai que HinataBot “es el más nuevo en la lista cada vez mayor de amenazas emergentes basadas en Go que incluye botnets como GoBruteForcer y el recientemente descubierto (por SIRT) kmsdbot”. Explican que el lenguaje Go ha sido aprovechado por los atacantes por su alto rendimiento, la facilidad de subprocesos múltiples, su arquitectura múltiple y el soporte de compilación cruzada del sistema operativo, “pero también porque agrega complejidad cuando se compila”.
En sus mejores tiempos la botnet Mirai alcanzó cientos de gigabytes por segundo de tráfico. El ataque contra OVH llegó a casi 1 Tbit/s, lo que fue posible gracias a una red de alrededor de 145.000 ordenadores conectados, todos enviando solicitudes a sus sistemas simultáneamente.
Para medir la fuerza de HinataBot, los investigadores de Akamai realizaron ataques de prueba de 10 segundos y descubrieron que con menos del 1 % de los recursos de Mirai, HinataBot es capaz de generar un tráfico que se aproximaba a los ataques más brutales de Mirai. Estudiando lo que HinataBot podría hacer con 10.000 nodos, los datos arrojaron la increíble cifra de 3,3 Tbit/s.
La red de bots crece encontrando y explotando vulnerabilidades antiguas y contraseñas débiles a través de ataques de fuerza bruta; “este es otro ejemplo más de por qué las políticas de parches y contraseñas seguras son más importantes que nunca”, dicen los investigadores de Akamai.
