El malware Mirai sigue reclutando dispositivos IoT vulnerables para convertirlos en botnets a un ritmo récord que ha aumentado desde que su código fuente fue hecho público hace dos semanas.

Level 3 Communications, una compañía de telecomunicaciones y proveedora de servicios de Internet en Colorado, ha identificado la infraestructura de Mirai C2 que compromete y se comunica con dispositivos IoT apropiados. También estima que el número de cámaras CCTV, DVRs y equipos de red domésticas comprometidas con Mirai se han duplicado de 213,000 a 493,000.

"El verdadero número de bots actuales puede ser mayor, basados en una visión incompleta de la infraestructura", según un reporte de Level 3 Research Labs.

La gran mayoría de los dispositivos comprometidos se encuentran en EE.UU., pero Brasil y Colombia también aparecen en los primeros lugares de la lista.

Posiblemente más inquietante es el número creciente de atacantes tomando ventaja de las oportunidades que presentan estos dispositivos conectados. Por ejemplo, Level 3 dice que 24% de los hosts en el botnet de Mirai se superponen a los bots usados en los ataques Gafgyt o Bashlite.

"Una superposición tan alta indica que muchas familias de malware están apuntando al mismo grupo de dispositivos IoT vulnerables," aseguran en Level 3.

El código fuente de Mirai es el mayor culpable. Su disponibilidad pública a principios de octubre dio a los investigadores una oportunidad de estudiar su comportamiento. El objetivo principal del malware es revisar continuamente Internet buscando dispositivos conectados y explotarlos con ataques de fuerza bruta intentando acceder a los dispositivos con credenciales conocidas o débiles. Entonces, los bots se unen a una enorme botnet utilizada en ataques DDoS.

El oficial en jefe de seguridad de Level 3 Dale Drew dijo que los criminales se benefician de la filtración del código fuente. 

"Mientras esto ayuda a la comunidad de investigación en seguridad, permitiendo una mejor comprensión de las semánticas de cómo opera y trabaja el botnet, también se asiste en gran medida a la red criminal pues ahora tienen acceso y pueden modificarlo fácilmente, tienen un código base del botnet completamente funcional para lanzar una campaña de botnet, lo cual hemos visto directamente", aseguró Drew.

Level 3 también ha identificado partes de la infraestructura de control de comandos asociada con el botnet, incluyendo un número de dominios críticos con la terminación .cx, el dominio principal de la Isla de Navidad, en Australia, como en santasbigcandycane(.)cx. Los dominios están prefijados con "red" o "reporte" dependiendo de sus roles en el botnet. Level 3 publicó una lista de dominios numerados en el reporte. 

"Estamos trabajando para notificar y asistir a las víctimas de los botnets", Drew aseguró con respecto al actual estatus de los dominios. "También estamos emitiendo una solicitud de eliminación a los dueños de la infraestructura de control de comandos y anularemos las rutas a través de nuestra red si no actúan a conformidad. 

Level 3 dijo que una de pocas direcciones IP de control de comandos está activa y a tiempo con la nueva red de C2 IPs que está disponibles en línea cada dos días. Drew aseguró que el constante cambio de los dominios se realiza para frustrar la detección. "Cambian entre C2s para que la gente rastreándolos no sean capaces de correlacionar fácilmente la comunicación entre el botnet y el C2", afirmó Drew.

Level 3 también notó que los atacantes detrás de Gafgyt y Bashlite atacaron la estructura de comando de Mirai en un número de ocasiones con ataques DDoS de gigabits por segundo cerca de septiembre 18.

"No sabemos si esto es más una preocupación que una competencia, tratar de derribar las operaciones de Mirai, o tomar control de los nodos comprometidos del malware", abundó Drew. El fenómeno de usar dispositivos IoT en ataques DDoS a gran escala llegaron a su máximo cuando derribaron el sitio Krebs on Security, durante septiembre. Al final, se supo que Mirai estaba detrás del ataque a Krebs. Mirai fue el segundo de su tipo en la familia de malware reuniendo estos ataques IoT en botnets detrás de Bashlite, los cuales fueron revelados por Level 3 en agosto.

Bashlite es responsable de afectar a más de un millón de DVRs y cámaras conectadas a la web. Aceleró su actividad rápidamente en julio, comunicándose al principio con un puñado de bots antes de juntar a cientos de miles. Level 3 dijo que 95 por ciento de los bots se encontraban en cámaras y DVRs, cuatro por ciento de routers domésticos y el resto en máquinas con Linux. Cientos de servidores de control de comandos están siendo usados para comunicarse con estos puntos finales afectados.