7 de octubre de 2017

Un botnet DDoS de 2015 irrumpe en las últimas semanas

Un botnet DDoS descubierto por primera vez en 2015 ha aumentado la actividad durante el verano y es responsable de más de 900 ataques DDoS durante los últimos cuatro meses, el mayor de los cuales alcanzó 45 Gbps. Se le conoce como Flusihoc. 
El malware detrás de este botnet apunta a equipos con Windows y fue detectado por primera vez por Microsoft y otros proveedores de antivirus en 2015. Sin embargo, nuevas versiones han aparecido en forma regular, la más reciente el mes pasado.
Botnet DDos de 2015
Arbor Networks, una empresa que mantiene un ojo en el panorama DDoS, dice que ha habido una afluencia de nuevas versiones este año. Después de excavar en torno a la historia de la botnet ha encontrado más de 154 servidores de comando y control diferentes utilizados para administrar la infraestructura botnet. De ellos, 48 estaban todavía activos el mes pasado.
Los investigadores hallaron más de 500 diferentes versiones de Flusihoc. Todas ellas fueron detectadas en los últimos dos años y sugieren que el malware fue creado por un usuario con sede en China.
Además, los investigadores encontraron muchas cadenas de depuración que contienen palabras y caracteres chinos, mientras que muchos servidores de C & C y ataques de DDoS estaban basados en China.
“El análisis sugiere que esta botnet es parte de un servicio regional DDoS basado en la variedad de los objetivos”, dijo TJ Nelson, analista de Arbor Networks.
Mayor actividad de Flusihoc
No es ninguna sorpresa que Arbor haya notado una mayor actividad de Flusihoc. Las investigaciones publicadas hace dos meses por Cisco Talos relacionaron el aumento repentino de los servicios DDoS-for-hire (de alquiler) basados en China con la fuga de una plataforma booster de DDoS que los expertos creen que alguien tradujo al chino y ofreció en foros de hacking clandestinos chinos.
Los operadores del botnet Flusihoc podrían haber aumentado la actividad con la liberación de nuevas herramientas para mantenerse al día con la creciente competencia.
Arbour explica que detectó 909 ataques DDoS lanzados por Flusihoc desde junio de 2017, con una media de 14,66 ataques por día. Mientras que el mayor ataque alcanzó un máximo de 45,08 Gbps, el promedio de ataques fue de sólo 603,24 Mbps, lo cual es más que suficiente para reducir sitios web que no ejecutan un servicio de mitigación DDoS.
Este botnet DDoS, a pesar de estar lejos de otros más grandes, Flusihoc no es un mero malware amateur. Según un análisis del código Flusihoc, Arbor dice que los equipos infectados pueden lanzar nueve tipos de ataques DDoS diferentes, como SYN, UDP, ICMP, TCP, HTTP, DNS, CON y dos tipos de inundaciones CC.
Mayor capacidad
Además, a partir de abril de 2017, Flusihoc recibió la capacidad de descargar y ejecutar binarios de terceros. Mientras que este mecanismo se utiliza para auto-actualizar el bot Flusihoc DDoS, los operadores botnet pueden usarlo en cualquier momento para descargar otros tipos de malware en hosts infectados, tales como troyanos bancarios o ransomware.
Debido a los peligros crecientes que provienen de esta amenaza, Arbour ha lanzado hoy las reglas de YARA para que otros investigadores de seguridad puedan rastrear muestras recientes de Flusihoc y agregar reglas de detección para sus productos y redes internas.
Fuente: Bleeping Computer