Una botnet relativamente nueva llamada Echobot contribuyó a 26 exploits peligrosos, utilizando exploits como herramienta para propagarse rápidamente. Según las estadísticas, la mayoría de los códigos de explotación a los que contribuye Echobot son dispositivos de IoT que no se han actualizado con parches de seguridad. Sin embargo, muchas aplicaciones empresariales de Oracle WebLogic y VMware SD-Wan se encuentran entre los objetivos, un punto sobre el que hay que tener especial cuidado.
Echobot se basa en el malware Mirai, que es como cientos de otras botnets que aparecen después de que la fuente del malware se hace pública. Fue revelado por primera vez (https://unit42.paloaltonetworks.com/new-mirai-variant-adds-8-new-Exloits-target-additable-iot-devices/) a principios de este mes por investigadores de Safe Security en Palo Alto Networks. Los expertos descubrieron esta botnet durante “solo” parte de 18 exploraciones en todo el mundo.
- Telegram acaba de sufrir fuertes ataques DDoS, pero no se registraron daños significativos
La botnet Echobot se está extendiendo rápidamente por todo el mundo
Los dispositivos de IoT se convierten en el objetivo principal
El popular investigador de seguridad Larry Cashdollar, del grupo de respuesta de inteligencia de seguridad de red (SIRT) de Akamai, señaló una nueva versión de la botnet Echobot, agregando una nueva serie de exploits para ayudarla a expandirse. propagación.
“Conté un total de 26 exploits independientes que se están utilizando para difundir esta botnet. La mayoría de ellos son vulnerabilidades de ejecución de comandos que son bien conocidas en otros dispositivos en red. Entre ellos”, dijo Larry Cashdollar.
- Shade Ransomware, la pesadilla de hace 5 años, muestra signos de retorno
Objetivo de la variante Echobot
Los objetivos de la última variante de Echobot incluyen dispositivos de almacenamiento en red (NAS), enrutadores (enrutadores), grabadoras de video en red (NVR), cámaras IP, teléfonos IP y sistemas de presentación. sistemas de presentación inalámbricos.
Los viejos agujeros que han existido durante décadas han sido explorados nuevamente.
Larry Cashdollar y sus colegas están teniendo dificultades para identificar las vulnerabilidades utilizadas por esta botnet, porque algunas de ellas se han descubierto públicamente, pero no hay números de seguimiento asignados. específicos para cada caso.
El equipo de Cashdollar superó el problema contactando a MITRE y, gracias a la organización que reubicó el número de identificación del vector, encontró los símbolos CVE faltantes.
Este esfuerzo juega un papel sumamente útil no solo para la investigación de Cashdollar y sus colegas, sino también para otros expertos a la hora de encontrar vulnerabilidades explotadas en la naturaleza porque el número CVE es un sistema. La comunidad de seguridad de la información utiliza la clasificación estándar.
Cashdollar también compiló una lista de los errores utilizados por la nueva variante de Echobot de la siguiente manera:
lista de vulnerabilidades utilizadas por nuevas variantes de Echobot
- Microsoft advirtió sobre campañas de spam maliciosas que utilizan vulnerabilidades en Office y Wordpad
Un aspecto importante que advierte este investigador es que los autores de la botnet expandieron la lista de objetivos más allá del rango de dispositivos de IoT y agregaron exploits dirigidos a Oracle WebLogic. El software de red y servidor VMware SD-WAN, que se utiliza para proporcionar servicios en la nube, centros de datos privados y aplicaciones empresariales basadas en SaaS, desempeña un papel fundamental en muchas organizaciones y empresas.
Además, el equipo también notó el fenómeno de viejas vulnerabilidades de seguridad que han existido durante décadas y que han sido explotadas por esta botnet, lo que sugiere que los autores del malware lo desconocen por completo. recuerde la antigüedad de la vulnerabilidad, siempre que sigan funcionando de manera excelente para dispositivos que no han sido reparados.
Esto muestra que muchos sistemas vulnerables todavía están en uso y es probable que se conviertan en una buena presa para las actualizaciones en segundo plano de Echobot, que no son parches de seguridad oportunos.
- La campaña de botnet GoldBrute intenta piratear 1,5 millones de servidores RDP en todo el mundo
La investigación de Larry Cashdollar y sus colegas reveló más información sobre Echobot usando solo el mismo código de ataque de Mirai, y la diferencia más obvia está en los exploits que lo están ayudando. se extendió rápidamente por todo el mundo.
Larry Cashdollar señaló que los servidores de comando y control (servidor C2) estaban configurados para los dominios de akumaiotsolutions [.] Pw y akuma Pw, aunque estaban completamente sin resolver para direcciones IP.
Ataque de ciber botnet Dispositivo IoT que explota VMware
Una botnet relativamente nueva llamada Echobot contribuyó a 26 exploits peligrosos, utilizando exploits como herramienta para propagarse rápidamente. Según las estadísticas, la mayoría de los códigos de explotación a los que contribuye Echobot son dispositivos de IoT que no se han actualizado con parches de seguridad. Sin embargo, muchas aplicaciones empresariales de Oracle WebLogic y VMware SD-Wan se encuentran entre los objetivos, un punto sobre el que hay que tener especial cuidado.
Echobot se basa en el malware Mirai, que es como cientos de otras botnets que aparecen después de que la fuente del malware se hace pública. Fue revelado por primera vez (https://unit42.paloaltonetworks.com/new-mirai-variant-adds-8-new-Exloits-target-additable-iot-devices/) a principios de este mes por investigadores de Safe Security en Palo Alto Networks. Los expertos descubrieron esta botnet durante “solo” parte de 18 exploraciones en todo el mundo.
- Telegram acaba de sufrir fuertes ataques DDoS, pero no se registraron daños significativos
La botnet Echobot se está extendiendo rápidamente por todo el mundo
Los dispositivos de IoT se convierten en el objetivo principal
El popular investigador de seguridad Larry Cashdollar, del grupo de respuesta de inteligencia de seguridad de red (SIRT) de Akamai, señaló una nueva versión de la botnet Echobot, agregando una nueva serie de exploits para ayudarla a expandirse. propagación.
“Conté un total de 26 exploits independientes que se están utilizando para difundir esta botnet. La mayoría de ellos son vulnerabilidades de ejecución de comandos que son bien conocidas en otros dispositivos en red. Entre ellos”, dijo Larry Cashdollar.
- Shade Ransomware, la pesadilla de hace 5 años, muestra signos de retorno
Objetivo de la variante Echobot
Los objetivos de la última variante de Echobot incluyen dispositivos de almacenamiento en red (NAS), enrutadores (enrutadores), grabadoras de video en red (NVR), cámaras IP, teléfonos IP y sistemas de presentación. sistemas de presentación inalámbricos.
Los viejos agujeros que han existido durante décadas han sido explorados nuevamente.
Larry Cashdollar y sus colegas están teniendo dificultades para identificar las vulnerabilidades utilizadas por esta botnet, porque algunas de ellas se han descubierto públicamente, pero no hay números de seguimiento asignados. específicos para cada caso.
El equipo de Cashdollar superó el problema poniéndose en contacto con MITRE y, gracias a la organización que reubicó el número de identificación del vector, encontró los símbolos CVE faltantes.
Este esfuerzo juega un papel sumamente útil no solo para la investigación de Cashdollar y sus colegas, sino también para otros expertos a la hora de encontrar vulnerabilidades explotadas en la naturaleza porque el número CVE es un sistema. La comunidad de seguridad de la información utiliza la clasificación estándar.
Cashdollar también compiló una lista de errores utilizados por la nueva variante de Echobot de la siguiente manera:
lista de vulnerabilidades utilizadas por nuevas variantes de Echobot
- Microsoft advirtió sobre campañas de spam maliciosas que utilizan vulnerabilidades en Office y Wordpad
Un aspecto importante que advierte este investigador es que los autores de la botnet expandieron la lista de objetivos más allá del rango de dispositivos de IoT y agregaron exploits dirigidos a Oracle WebLogic. El software de red y servidor VMware SD-WAN, que se utiliza para proporcionar servicios en la nube, centros de almacenamiento de datos privados y aplicaciones empresariales basadas en SaaS, desempeña un papel fundamental en muchas organizaciones y empresas.
Además, el equipo también notó el fenómeno de viejas vulnerabilidades de seguridad que han existido durante décadas y que fueron explotadas por esta botnet, lo que sugiere que los autores del malware lo desconocen por completo. recuerde la antigüedad de la vulnerabilidad, siempre que sigan funcionando de manera excelente para dispositivos que no han sido reparados.
Esto muestra que muchos sistemas vulnerables todavía están en uso, y es probable que sean una buena presa para las actualizaciones de fondo de Echobot, que no son parches de seguridad oportunos.
- La campaña de botnet GoldBrute intenta piratear 1,5 millones de servidores RDP en todo el mundo
La investigación de Larry Cashdollar y sus colegas reveló más información sobre Echobot usando solo el mismo código de ataque de Mirai, y la diferencia más obvia está en los exploits que lo están ayudando. se extendió rápidamente por todo el mundo.
Larry Cashdollar señaló que los servidores de comando y control (servidor C2) estaban configurados para los dominios de akumaiotsolutions [.] Pw y akuma Pw, aunque estaban completamente sin resolver para direcciones IP.