La nueva botnet Gorilla desencadena más de 300.000 ataques DDoS en 100 países
La ciberseguridad se enfrenta a una nueva amenaza, llamada Gorilla, también conocida como GorillaBot. Esta botnet, una variante de la famosa botnet Mirai, ha desatado un torrente de ataques de denegación de servicio distribuido (DDoS), superando los 300.000 ataques en 100 países en tan solo unas semanas. Según la empresa de ciberseguridad NSFOCUS, esta incesante ola de ataques ocurrió entre el 4 y el 27 de septiembre de 2024, creando estragos a nivel mundial.
Table of Contents
El alcance de la botnet Gorilla
En poco menos de un mes, la botnet Gorilla ha emitido un promedio de 20.000 comandos de ataque DDoS por día. Países como Estados Unidos, China, Canadá y Alemania se han convertido en sus principales objetivos, con una amplia gama de sectores afectados (universidades, proveedores de telecomunicaciones, bancos e incluso la industria del juego y las apuestas). Lo que hace que esto sea aún más alarmante es la escala a la que se están produciendo estos ataques.
La botnet utiliza principalmente varios vectores de ataque, entre ellos, la inundación UDP, la inundación ACK BYPASS, la inundación Valve Source Engine (VSE), la inundación SYN y la inundación ACK. Estos métodos están diseñados para saturar los sistemas objetivo con tráfico, lo que dificulta, si no imposibilita, su funcionamiento normal. El uso de ataques de inundación UDP es especialmente preocupante, ya que explotan la naturaleza sin conexión del protocolo UDP para generar una cantidad abrumadora de tráfico falsificando las direcciones IP de origen.
Un malware altamente sofisticado
Más allá de su gran volumen, lo que distingue a la botnet Gorilla es su sofisticación. La botnet está diseñada para funcionar en múltiples arquitecturas de CPU, incluidas ARM, MIPS, x86_64 y x86, lo que le permite infiltrarse en una amplia gama de dispositivos. Una vez que el malware infecta un sistema, se conecta a uno de los cinco servidores de comando y control (C2) predefinidos para recibir nuevos comandos DDoS.
Además, el malware aprovecha una vulnerabilidad conocida en Apache Hadoop YARN RPC, un fallo que se viene explotando desde 2021. De esta forma, la botnet Gorilla consigue la ejecución remota de código en los dispositivos infectados, lo que le otorga la capacidad de mantener el control a largo plazo sobre estos sistemas. La persistencia se asegura mediante la creación de archivos de servicio que ejecutan automáticamente un script de shell cada vez que se inicia el sistema o un usuario inicia sesión.
Estrategias de contra-detección
Lo verdaderamente preocupante de Gorilla es lo bien que evade la detección. Según NSFOCUS, la botnet emplea técnicas de cifrado para ocultar información clave, lo que dificulta que los profesionales de la ciberseguridad detecten y neutralicen el malware. También toma prestados los métodos de cifrado del grupo Keksec, un colectivo conocido por desarrollar malware destinado a dispositivos IoT y sistemas en la nube. La combinación de estas estrategias permite a la botnet Gorilla mantener el control sobre los dispositivos infectados durante períodos prolongados sin ser detectada.
Por qué debería importarte
La rápida expansión de la botnet Gorilla y su capacidad para llevar a cabo ataques DDoS a gran escala en una amplia gama de sectores la convierten en una amenaza formidable para empresas, gobiernos y particulares por igual. A medida que los dispositivos IoT se vuelven cada vez más comunes en hogares e industrias, el riesgo de ataques impulsados por botnets sigue creciendo. Para las organizaciones, especialmente aquellas de los sectores objetivo, tomar medidas inmediatas para fortalecer las defensas de ciberseguridad es crucial para mitigar este tipo de ataques.
La aparición de la botnet Gorilla es un duro recordatorio de que las amenazas cibernéticas están evolucionando y se están volviendo más agresivas y sofisticadas. Ya sea que se trate de una persona que administra dispositivos IoT en su hogar o de una empresa que maneja infraestructura crítica, mantenerse a la vanguardia de estas amenazas requiere una vigilancia constante y medidas de ciberseguridad proactivas. Con botnets como Gorilla en acción, ahora no es el momento de ser complacientes.
Las organizaciones deben trabajar en estrecha colaboración con las empresas de ciberseguridad y mantenerse actualizadas sobre las últimas vulnerabilidades y amenazas para proteger sus redes.
