Si bien la red de robots de Mirai IoT se dirigía principalmente a los dispositivos de los consumidores utilizando credenciales predeterminadas, un sucesor espiritual podría potencialmente infectar dispositivos que se ejecutan en redes corporativas.
Los investigadores de seguridad de la Unidad 42 de Palo Alto Networks han descubierto recientemente una nueva variedad de malware llamada "botnet" llamada Echobot, basada en el código fuente de Mirai y orientada a solucionar los defectos de las herramientas de administración.
Además de las vulnerabilidades dirigidas previamente, Echobot también está cansado de explotar la vulnerabilidad CVE-2019-2725 en Oracle WebLogic Server y la vulnerabilidad CVE-2018-6961 en VMware NSX SD-WAN para agregar aún más máquinas a su botnet. .
Según el equipo de Palo Alto, aquellos que originalmente Echobot han extendido el arsenal de explotación de malware para llegar a otros. Periféricos como enrutadores domésticos, cámaras web y grabadoras de video digital. Mirai ha ganado notoriedad al atacar dispositivos de consumo y ahora Echobot y otras variantes han recurrido a la compañía.
Nuevos objetivos
Al ampliar su gama de objetivos, Echobot ahora representa una amenaza aún mayor que la de Mirai. Según Larry Cashdollar de Akamai, la red de bots también intenta explotar las fallas de seguridad del pasado.
Cashdollar descubrió que muchas de las nuevas vulnerabilidades del malware estaban relacionadas con vulnerabilidades que habían existido durante casi 10 años pero que no se habían manejado adecuadamente, incluida la vulnerabilidad CVE-2009-5157 encontrada en los dispositivos Linsys y la vulnerabilidad CVE-2010-5330. en dispositivos ubiquiti.
En un artículo en el sitio web de Akamai, Cashdollar explicó cómo Echobot está intentando explotar vulnerabilidades antiguas, declarando:
"Los desarrolladores de Botnet siempre están buscando formas de propagar malware. No se basan únicamente en la explotación de nuevas vulnerabilidades dirigidas a dispositivos IoT, sino también en las vulnerabilidades de los sistemas empresariales. Algunas de las nuevas vulnerabilidades que agregaron son más antiguas y no han sido corregidas por el proveedor. Parece que las actualizaciones de Echobot apuntan a sistemas que pueden haber permanecido en servicio pero cuyas vulnerabilidades se han pasado por alto. Esta es una táctica interesante porque estos sistemas, si se descubren, han permanecido vulnerables durante años y probablemente lo sigan siendo para muchos otros ".
A través del registro