Hacktivistische Aktivitäten führen zu DDoS-Volumen

Un actor malicioso ha destruido irremediablemente su propia botnet con nada más que un error tipográfico.

La empresa de ciberseguridad Akamai detectó el error en KmsdBot, una red de bots de criptominería que también tenía capacidades de Denegación de servicio distribuida (DDoS, se abre en una nueva pestaña), antes de colapsar recientemente y reportar un error de «índice fuera de rango».

Los investigadores de Akamai estaban monitoreando la red de bots cuando se produjo un ataque a un sitio web centrado en criptografía. En ese momento exacto, el actor de amenazas «olvidó» poner un espacio entre una dirección IP y un puerto en un comando y envió el comando a cada instancia de trabajo de KmsdBot. Esto provocó que la mayoría de ellos fallaran y, dada la naturaleza de la botnet, permaneció inactiva.

Sin botnet de persistencia

La botnet está escrita en Golang y no tiene persistencia, por lo que la única forma de que vuelva a funcionar sería infectar de nuevo todas las máquinas que componen la botnet.

Hablando con DarkReading, Larry Cashdollar, ingeniero senior de respuesta de inteligencia de seguridad de Akamai, dijo que casi toda la actividad de KmsdBot rastreada por la compañía ha cesado, pero agregó que los actores de amenazas pueden intentar volver a infectar las terminales nuevamente. Al informar sobre las noticias, Ars Technica agregó que la mejor manera de defenderse contra KmsdBot es usar la autenticación de clave pública para inicios de sesión de shell seguros, o al menos mejorar las credenciales de inicio de sesión.

Según Akamai, el objetivo predeterminado de la red de bots es una empresa que construye los servidores privados en línea de Grand Theft Auto, y aunque pudo extraer criptomonedas para los atacantes, esta función no se ejecutó durante la investigación. En cambio, era la actividad DDoS la que se estaba ejecutando. En otros casos, se dirigió a empresas de seguridad y marcas de automóviles de lujo.

La empresa detectó por primera vez la botnet en noviembre de este año cuando se trataba de sistemas de fuerza bruta con credenciales SSH débiles.

Teilen Sie es