Una de las amenazas más preocupantes que ha surgido recientemente es la botnet CatDDoS, una variante de Mirai que ha explotado más de 80 vulnerabilidades conocidas en los últimos tres meses para infiltrarse en dispositivos vulnerables y lanzar ataques de denegación de servicio distribuido (DDoS) a gran escala.
Objetivo y amenaza
Los actores de amenazas detrás de CatDDoS han dirigido sus ataques principalmente a dispositivos en China, Estados Unidos, Japón, Singapur, Francia, Canadá, Reino Unido, Bulgaria, Alemania, Países Bajos e India. Estos ataques tienen el potencial de causar interrupciones significativas del servicio, pérdida de datos y daños financieros considerables a las empresas que se vean afectadas.
Métodos y técnicas
La botnet CatDDoS emplea una combinación de tácticas sofisticadas para eludir las defensas de seguridad y lograr sus objetivos. Entre estas técnicas se encuentran:
- Explotación de vulnerabilidades: CatDDoS se aprovecha de más de 80 vulnerabilidades conocidas en diversos softwares, incluyendo enrutadores, equipos de red y dispositivos de proveedores como Apache, Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate,SonicWall, Tenda, TOTOLINK, TP-Link, ZTE y Zyxel.
- Cifrado ChaCha20: Para dificultar la detección y el análisis, CatDDoS utiliza el algoritmo ChaCha20 para cifrar las comunicaciones entre los dispositivos infectados y el servidor de comando y control (C2).
- Dominio OpenNIC para C2: En un intento adicional de evadir la detección, la botnet emplea un dominio OpenNIC para el C2, lo que dificulta que las medidas de seguridad tradicionales bloqueen las comunicaciones maliciosas.
- Venta o filtración del código fuente: En diciembre de 2023, se produjo una filtración del código fuente de CatDDoS, lo que ha dado lugar a la aparición de nuevas variantes con características y capacidades similares.
- DNSBomb: Además de las técnicas mencionadas anteriormente, los actores de amenazas detrás de CatDDoS también están utilizando una nueva técnica de ataque DDoS llamada DNSBomb (CVE-2024-33655). Esta técnica explota las consultas y respuestas del Sistema de Nombres de Dominio (DNS) para lograr una amplificación de 20.000 veces, lo que genera un volumen de tráfico abrumador para los sistemas objetivo.
Sectores afectados
El impacto de los ataques CatDDoS se extiende a una amplia gama de sectores, incluyendo:
- Proveedores de servicios en la nube
- Educación
- Investigación científica
- Transmisión de información
- Administración pública
- Construcción
- Y otras industrias
Recomendaciones para mitigar el riesgo
Para protegerse contra las amenazas de CatDDoS y DNSBomb, las organizaciones deben implementar las siguientes medidas:
- Aplicar parches para vulnerabilidades conocidas: Es fundamental aplicar puntualmente parches de seguridad para las vulnerabilidades conocidas en los dispositivos y softwares utilizados.
- Implementar medidas de seguridad de red: Implementar firewalls, sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS) para monitorear y bloquear el tráfico malicioso.
- Monitorear el tráfico de red: Monitorear continuamente el tráfico de red para detectar anomalías y posibles ataques.
- Considerar soluciones Anti-DDoS: Implementar soluciones anti-DDoS especializadas para protegerse contra ataques de gran volumen.
- Mantenerse actualizado: Mantenerse informado sobre las últimas amenazas y vulnerabilidades para tomar medidas preventivas oportunas.
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!
Fuentes
https://thehackernews.com/2024/05/researchers-warn-of-catddos-botnet-and.html