Un botnet DDoS
descubierto por primera vez en 2015 ha aumentado la actividad durante el verano
y es responsable de más de 900 ataques DDoS durante los últimos cuatro meses,
el mayor de los cuales alcanzó 45 Gbps. Se le conoce como Flusihoc.
El malware
detrás de este botnet apunta a equipos con Windows y fue detectado por primera
vez por Microsoft y otros proveedores de antivirus en 2015. Sin embargo, nuevas
versiones han aparecido en forma regular, la más reciente el mes pasado.
Botnet DDos de 2015
Arbor Networks, una
empresa que mantiene un ojo en el panorama DDoS, dice que ha habido una
afluencia de nuevas versiones este año. Después de excavar en torno a la
historia de la botnet ha encontrado más de 154 servidores de comando y control
diferentes utilizados para administrar la infraestructura botnet. De ellos, 48
estaban todavía activos el mes pasado.
Los investigadores
hallaron más de 500 diferentes versiones de Flusihoc. Todas ellas fueron
detectadas en los últimos dos años y sugieren que el malware fue creado por un
usuario con sede en China.
Además, los
investigadores encontraron muchas cadenas de depuración que contienen palabras
y caracteres chinos, mientras que muchos servidores de C & C y ataques de
DDoS estaban basados en China.
“El análisis sugiere
que esta botnet es parte de un servicio regional DDoS basado en la variedad de
los objetivos”, dijo TJ Nelson, analista de Arbor Networks.
Mayor actividad de Flusihoc
No es ninguna
sorpresa que Arbor haya notado una mayor actividad de Flusihoc. Las
investigaciones publicadas hace dos meses por Cisco Talos relacionaron el
aumento repentino de los servicios DDoS-for-hire (de alquiler) basados en China
con la fuga de una plataforma booster de DDoS que los expertos creen que
alguien tradujo al chino y ofreció en foros de hacking clandestinos chinos.
Los operadores del
botnet Flusihoc podrían haber aumentado la actividad con la liberación de
nuevas herramientas para mantenerse al día con la creciente competencia.
Arbour explica que
detectó 909 ataques DDoS lanzados por Flusihoc desde junio de 2017, con una
media de 14,66 ataques por día. Mientras que el mayor ataque alcanzó un máximo
de 45,08 Gbps, el promedio de ataques fue de sólo 603,24 Mbps, lo cual es más
que suficiente para reducir sitios web que no ejecutan un servicio de
mitigación DDoS.
Este botnet DDoS, a
pesar de estar lejos de otros más grandes, Flusihoc no es un mero malware
amateur. Según un análisis del código Flusihoc, Arbor dice que los equipos
infectados pueden lanzar nueve tipos de ataques DDoS diferentes, como SYN, UDP,
ICMP, TCP, HTTP, DNS, CON y dos tipos de inundaciones CC.
Mayor capacidad
Además, a partir de
abril de 2017, Flusihoc recibió la capacidad de descargar y ejecutar binarios
de terceros. Mientras que este mecanismo se utiliza para auto-actualizar el bot
Flusihoc DDoS, los operadores botnet pueden usarlo en cualquier momento para
descargar otros tipos de malware en hosts infectados, tales como troyanos
bancarios o ransomware.
Debido a los peligros
crecientes que provienen de esta amenaza, Arbour ha lanzado hoy las reglas de
YARA para que otros investigadores de seguridad puedan rastrear muestras
recientes de Flusihoc y agregar reglas de detección para sus productos y redes
internas.
Fuente: Bleeping
Computer