Ciberseguridad 360 | La botnet Gorilla golpea a nivel mundial con una oleada de ciberataques DDoS

Investigadores de ciberseguridad han descubierto una nueva familia de malware botnet llamada Gorilla (tambi�n conocida como GorillaBot) que es una variante del c�digo fuente filtrado de la botnet Mirai.

La empresa de ciberseguridad NSFOCUS, que identific� la actividad el mes pasado, afirm� que la botnet �emiti� m�s de 300.000 comandos de ataque, con una densidad de ataque impactante� entre el 4 y el 27 de septiembre de 2024. No menos de 20.000 comandos dise�ados para montar ataques de denegaci�n de servicio distribuidos (DDoS) han sido emitidos desde la botnet cada d�a de media.

Se dice que la botnet se ha dirigido a m�s de 100 pa�ses, atacando universidades, sitios web gubernamentales, telecomunicaciones, bancos y los sectores del juego y las apuestas. China, Estados Unidos, Canad� y Alemania han resultado ser los pa�ses m�s atacados.

La empresa con sede en Pek�n afirm� que Gorilla utiliza principalmente UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood y ACK flood para llevar a cabo los ataques DDoS, a�adiendo que la naturaleza sin conexi�n del protocolo UDP permite la suplantaci�n arbitraria de la IP de origen para generar una gran cantidad de tr�fico.

Adem�s de soportar m�ltiples arquitecturas de CPU, como ARM, MIPS, x86_64 y x86, la botnet viene con capacidades para conectarse con uno de los cinco servidores de comando y control (C2) predefinidos para esperar comandos DDoS.

En un giro interesante, el malware tambi�n incorpora funciones para explotar un fallo de seguridad en Apache Hadoop YARN RPC para lograr la ejecuci�n remota de c�digo. Merece la pena se�alar que este fallo ya se utiliz� en 2021, seg�n Alibaba Cloud y Trend Micro.

La persistencia en el host se consigue creando un archivo de servicio llamado custom.service en el directorio �/etc/systemd/system/� y configur�ndolo para que se ejecute autom�ticamente cada vez que se inicie el sistema.

El servicio, por su parte, se encarga de descargar y ejecutar un script de shell (�lol.sh�) desde un servidor remoto (�pen.gorillafirewall[.]su�). Tambi�n se a�aden comandos similares a los archivos �/etc/inittab�, �/etc/profile� y �/boot/bootcmd� para descargar y ejecutar el script de shell al iniciar el sistema o al iniciar sesi�n el usuario.

�Introdujo varios m�todos de ataque DDoS y utiliz� algoritmos de cifrado com�nmente empleados por el grupo Keksec para ocultar informaci�n clave, mientras empleaba m�ltiples t�cnicas para mantener el control a largo plazo sobre dispositivos IoT y hosts en la nube, demostrando un alto nivel de conciencia de contra-detecci�n como una familia de botnet emergente�, dijo NSFOCUS.

Fuente: thehackernews