La nueva botnet Mēris rompe el récord de DDoS con 21,8 millones de ataques RPS

Una nueva botnet de denegación de servicio distribuida (DDoS) que continuó creciendo durante el verano golpeó al gigante ruso de Internet Yandex en el último mes, el ataque alcanzó un pico sin precedentes de 21,8 millones de solicitudes por año.

La botnet recibió el nombre de Mēris y obtiene su poder de decenas de miles de dispositivos comprometidos que los investigadores creen que son principalmente equipos de red potentes.

Botnet grande y potente

La noticia de un ataque DDoS masivo que afectó a Yandex fue filtrada esta semana por los medios rusos, que lo describieron como el más grande en la historia de la Internet rusa, la llamada RuNet.

Los detalles surgieron hoy en la investigación conjunta de Yandex y su socio en la prestación de servicios de protección DDoS, Laboratorios Qrator.

La información recopilada por separado de varios ataques lanzados por la nueva botnet Mēris (en letón significa "plaga") mostró una fuerza impresionante de más de 30.000 dispositivos.

A partir de los datos observados por Yandex, los ataques a sus servidores se basaron en aproximadamente 56.000 hosts atacantes. Sin embargo, los investigadores vieron indicios de que la cantidad de dispositivos comprometidos podría estar más cerca de 250.000.

“Los miembros del equipo de seguridad de Yandex pudieron establecer una visión clara de la estructura interna de la botnet. Los túneles L2TP se utilizan para comunicaciones entre redes. El número de dispositivos infectados, según las botnets internas que hemos visto, llega a 250.000 "- Qrator Labs

La diferencia entre la fuerza atacante y el número total de hosts infectados que componen Mēris se explica por el hecho de que los administradores no quieren mostrar todo el poder de su botnet. Qrator Labs dice en una publicación de blog de hoy.

Los investigadores señalan que los hosts comprometidos en Mēris "no son la típica luz intermitente de IoT conectada a WiFi", sino dispositivos de alta capacidad que requieren una conexión Ethernet.

Mēris es la misma botnet responsable de generar el mayor volumen de tráfico de ataque que Cloudflare ha registrado y mitigado hasta la fecha, con un máximo de 17,2 millones de solicitudes por segundo (RPS).

Sin embargo, la botnet Mēris rompió ese récord cuando llegó a Yandex, ya que su flujo alcanzó una fuerza de RPS 21,8 millones el 5 de septiembre.

El ataque DDoS de la botnet Meris alcanza un máximo de 21,8 millones de solicitudes por segundo
fuente: Qrator Labs

La historia de los ataques de botnets en Yandex comienza a principios de agosto con un strike de RPS 5.2 millones y continúa aumentando en fuerza:

  • 2021-08-07 - 5.2 millones de RPS
  • 2021-08-09: RPS 6.5 millones
  • 2021-08-29: RPS 9,6 millones
  • 2021-08-31 - RPS 10,9 millones
  • 2021-09-05 - RPS 21,8 millones

Los datos técnicos indican los dispositivos MikroTik

Para implementar un ataque, los investigadores afirman que Mēris se basa en el proxy SOCKS4 en el dispositivo comprometido, utiliza el Canalización HTTP Técnica DDoS y puerto 5678.

En cuanto a los dispositivos comprometidos utilizados, los investigadores dicen que están vinculados a MikroTik, el fabricante letón de equipos de red para empresas de todos los tamaños.

La mayoría de los atacantes tenían abiertos los puertos 2000 y 5678. Este último apunta al equipo MikroTik, que lo usa para el Protocolo de descubrimiento de vecinos MikroTik.

Qrator Labs descubrió que mientras MikroTik brinda su servicio estándar a través del Protocolo de datagramas de usuario (UDP), los dispositivos comprometidos también tienen un Protocolo de control de transmisión (TCP) abierto.

Este tipo de disfraz podría ser una de las razones por las que sus propietarios hackearon los dispositivos sin que se dieran cuenta ", creen los investigadores de Qrator Labs.

Al buscar en Internet público el puerto TCP abierto 5678, respondieron más de 328.000 hosts. Sin embargo, el número no son todos los dispositivos MikroTik, como Equipo LinkSys también usa TCP en el mismo puerto.

Dispositivos con puerta abierta 5678
fuente: Qrator Labs

El puerto 2000 es para "servidores de prueba de ancho de banda", dicen los investigadores. Cuando está abierto, responde a la conexión entrante con una firma que pertenece al protocolo RouterOS de MikroTik.

MikroTik fue informado de estos resultados. El vendedor dijo Publicación rusa Vedomosti que desconoce una nueva vulnerabilidad para comprometer sus productos.

El fabricante de equipos de red también dijo que muchos de sus dispositivos continúan ejecutando firmware antiguo, vulnerable a un problema de seguridad explotado masivamente que se rastrea como CVE-2018-14847 y se parcheó en abril de 2018.

Sin embargo, el rango de versiones de RouterOS que Yandex y Qrator Labs observaron en los ataques de botnet Mēris varía mucho e incluye dispositivos que ejecutan versiones de firmware más recientes, como el actual estable (6.48.4) y su predecesor, 6.48.3.

Versiones de RouterOS vistas en la botnet Meris DDoS
fuente: Qrator Labs

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings