Moobot Botnet mastica los sistemas de vigilancia de Hikvision - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Moobot Botnet mastica los sistemas de vigilancia de Hikvision

Hola de nuevo. Soy Eduardo Arroyo y hoy vamos a hablar sobre Moobot Botnet mastica los sistemas de vigilancia de Hikvision

Moobot Botnet mastica los sistemas de vigilancia de Hikvision

Los atacantes están explotando sistemas de video de Hikvision sin parches para eliminar una botnet DDoS, advirtieron los investigadores.

Aunque se lanzó un parche en septiembre, cualquier producto de grabadora de video en red (NVR) IP de Hikvision aún vulnerable es un objetivo activo de la botnet basada en Mirai conocida como Moobot.

FortiGuard Labs ha publicado un informe que detalla cómo la botnet Moobot está explotando un conocido Vulnerabilidad de ejecución remota de código (RCE) en productos Hikvision (CVE-2021-36260) para difundir un Moobot, que realiza ataques Distributed Denial of Service (DDoS).

La superficie de ataque podría ser significativa: Hikvision, con sede en China, se ha llamado a sí misma «el líder mundial» proveedor de productos de videovigilancia«En el sitio web de la empresa.

Una vez que el atacante encuentra un sistema vulnerable, un descargador libera el malware, que FortiGuard ha identificado como Moobot, una variante de Mirai con rastros del código Satori. Sartori es otra botnet basada en Mirai y una de las doce que se han derivado del código fuente original.

Escenario de ataque. Fuente: FortiGuard Labs.

«Su característica más obvia es que contiene la cadena de datos ‘w5q6he3dbrsgmclkiu4to18npavj702f’, que se usa en la función ‘rand_alphastr'», encontraron los investigadores en el análisis binario. «Se utiliza para crear cadenas alfanuméricas aleatorias con diferentes propósitos, como para el nombre de un proceso de instalación o para generar datos para el ataque».

Una vez que se establezca la conexión con el servidor de comando y control (C2), inicie el ataque DDoS, agregó el informe, que se ve así:

Fuente: FortiGuard Labs.

Los analistas pudieron rastrear el código en el canal de Telegram de un proveedor de servicios DDoS llamado «tianrian», que ha estado operativo desde agosto, agregaron.

Fuente: FortiGuard Labs.

«Desde el canal de chat podemos ver que el servicio aún se está actualizando», advierte el informe de FortiGuard. «Los usuarios siempre deben estar atentos a los ataques DDoS y parchear los dispositivos vulnerables».

Durante el tercer trimestre, los investigadores de amenazas de Kaspersky descubrieron que el número de ataques DDoS batió récords, a menudo superando los miles por día.

Mirai basado en Linux se identificó por primera vez en septiembre de 2016 cuando se usó en un ataque DDoS contra Krebs en seguridad. Un mes después, capturó una gran parte de Internet con un éxito en Dyn. Y a pesar de que su código fuente se lanzó en octubre de 2016, desde entonces se ha convertido en una de las redes de bots más poderosas del Internet de las cosas, infectando productos y dispositivos de marcas como D-Link, SonicWall y Netgear y otros dispositivos conectados.

Fortinet incluyó a Mirai como la principal amenaza de botnet en su primer semestre de análisis de 2021. El autor del informe Derek Manky, jefe de conocimientos de seguridad y alianzas de amenazas globales en Fortiguard Labs, no espera que Mirai, o sus variantes de amenaza, desaparezcan pronto.

«Esperaremos ver más [Mirai]»Manky dijo.» Más botnets basadas en Linux. Muchos de estos objetivos, no estamos hablando de Windows, sino de MacOS, hemos visto más y más … código escrito para Linux, y esa es la mayoría de [internet of things, or IoT] espacio.»

Se anima a todas las organizaciones que ejecutan sistemas Hikvision sin parches a obtener el actualización de firmware proporcionado por la empresa.

.

No te olvides compartir en una historia de tu Instagram para que tus amigos lo consulten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *