![]() |
Mapa de conexiones de la botnet. |
La botnet, referenciada como IoT_reaper fue descubierta en el mes de septiembre. Desde entonces, ha sufrido muchas modificaciones y aumentado el numero de dispositivos infectados.
Esta botnet que «surge» de Mirai utiliza código de dicha botnet. Sin embargo, posee muchas distinciones y nuevos mecanismos que la separan lo suficiente de Mirai para considerarlo una nueva amenaza.
Como diferencia insignia, IoT_reaper abandona el uso de ataques de fuerza bruta utilizando contraseñas por defecto o débiles escaneando puertos telnet abiertos. En su lugar, utiliza exploits para tomar el control de aquellos dispositivos que no hayan sido parcheados, añadiéndolos así a su infraestructura.
La botnet actualmente, cuenta con 9 vulnerabilidades que explota:
![]() |
Comprobando el listado de IPs seleccionadas. |
La botnet contiene la runtime de LUA, y contacta con un servidor remoto para ejecutar módulos de manera dinámica.
![]() |
Script remoto en LUA |
![]() |
API remota |
Fernando Díaz
fdiaz@hispasec.com
Deja una respuesta