Una botnet basada en Mirai conocida como ShadowV2 surgió en octubre pasado durante una importante interrupción de AWS e infectó dispositivos de IoT en varias industrias de todo el mundo. FortiGuard Labs de Fortinet sugiere que esta operación puede haber sido un presagio de ataques más extensos en el futuro.
Durante la interrupción de un día de AWS, ShadowV2 aprovechó las vulnerabilidades en múltiples dispositivos de Internet de las cosas (IoT). Esta variante de Mirai permitió a los atacantes tomar el control remoto de los dispositivos infectados, lo que permitió posibles ataques distribuidos de denegación de servicio (DDoS) a gran escala. El ataque provocó interrupciones generalizadas y dejó fuera de línea a muchos sitios web importantes durante horas.
La difusión de ShadowV2 fue posible gracias a la explotación de diversas vulnerabilidades en dispositivos de numerosos proveedores. Las vulnerabilidades incluyen DD-WRT (CVE-2009-2765), múltiples vulnerabilidades de D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915) y otras de DigiEver, TBK y TP-Link. El analista de antivirus de Fortinet, Vincent Li, destacó estos exploits en una publicación de blog reciente.
Anteriormente, ShadowV2 se había dirigido a instancias AWS EC2, pero esta vez el impacto de la botnet resonó en múltiples industrias, como tecnología, comercio minorista, hotelería, manufactura, servicios gubernamentales, telecomunicaciones y educación. La botnet llegó a 28 países, entre ellos Estados Unidos, Canadá, varios países de Europa, América del Sur, Asia y Australia.
Fortinet ha estado investigando el número total de dispositivos infectados y planea actualizar sus hallazgos a medida que haya más información disponible.
Según la publicación del blog, los atacantes utilizaron un exploit para implementar un script de descarga llamado “binary.sh”, que luego introdujo el malware ShadowV2. El malware funciona con archivos binarios que comienzan con la “sombra” de un servidor de comando y control específico. Li señaló que la naturaleza simplista del script se asemeja a la variante LZRD Mirai, que inicializa una configuración codificada en XOR y se conecta a un servidor de comando y control para ejecutar comandos DDoS. Cuando se ejecuta, el malware se identifica con la etiqueta: ‘ShadowV2 Build v1.0.0 IoT Version’, lo que indica que puede ser una versión inicial adaptada a dispositivos IoT.
Si bien la actividad del malware parece limitarse a la interrupción de AWS, el incidente subraya la necesidad crítica de mejorar las medidas de seguridad para los dispositivos IoT. Fortinet enfatiza la importancia de las actualizaciones del firmware de los dispositivos y el monitoreo del tráfico de red inusual como medidas preventivas. También han publicado una lista de indicadores de compromiso para ayudar a detectar amenazas. Li señaló que “ShadowV2 muestra que los dispositivos IoT siguen siendo un eslabón débil en el panorama más amplio de la ciberseguridad”.
En un acontecimiento relacionado, poco después de las actividades de ShadowV2, Microsoft informó que su plataforma en la nube Azure sufrió uno de los mayores ataques DDoS basados en la nube jamás atribuidos a la botnet Aisuru, alcanzando un máximo de 15,72 terabits por segundo. El servicio de protección DDoS de Microsoft gestionó eficazmente el aumento del tráfico entrante, procesando casi 3,64 mil millones de paquetes por segundo sin que se reportaran interrupciones del servicio para sus clientes.
