Nieuw Gorilla-botnet ontketent meer dan 300.000 DDoS-aanvallen in 100 landen
Cybersecurity staat voor een nieuwe bedreiging en de naam is Gorilla, ook wel bekend als GorillaBot. Dit botnet, een variant van het beruchte Mirai-botnet, heeft een stortvloed aan Distributed Denial-of-Service (DDoS)-aanvallen ontketend, met meer dan 300.000 aanvallen in 100 landen binnen een paar weken. Volgens cybersecuritybedrijf NSFOCUS vond deze meedogenloze golf van aanvallen plaats tussen 4 en 27 september 2024, en veroorzaakte wereldwijde chaos.
Table of Contents
De omvang van het bereik van het Gorilla Botnet
In iets minder dan een maand heeft het Gorilla-botnet gemiddeld 20.000 DDoS-aanvalsopdrachten per dag uitgegeven. Landen als de VS, China, Canada en Duitsland zijn de primaire doelwitten geworden, waarbij een breed scala aan sectoren - universiteiten, telecomproviders, banken en zelfs de gaming- en gokindustrie - is getroffen. Wat dit nog alarmerender maakt, is de schaal waarop deze aanvallen plaatsvinden.
Het botnet maakt voornamelijk gebruik van verschillende aanvalsvectoren, waaronder UDP-flood, ACK BYPASS-flood, Valve Source Engine (VSE)-flood, SYN-flood en ACK-flood. Deze methoden zijn ontworpen om de doelsystemen te overweldigen met verkeer, waardoor het moeilijk, zo niet onmogelijk, wordt om normaal te functioneren. Van bijzonder belang is het gebruik van UDP-flood-aanvallen, die de verbindingsloze aard van het UDP-protocol misbruiken om een overweldigende hoeveelheid verkeer te genereren door bron-IP-adressen te spoofen.
Een zeer geavanceerde malware
Naast het enorme volume is het Gorilla-botnet vooral zijn verfijning. Het botnet is ontworpen om te werken op meerdere CPU-architecturen, waaronder ARM, MIPS, x86_64 en x86, waardoor het een breed scala aan apparaten kan infiltreren. Zodra de malware een systeem infecteert, maakt het verbinding met een van de vijf vooraf gedefinieerde command-and-control (C2)-servers om nieuwe DDoS-opdrachten te ontvangen.
Bovendien maakt de malware gebruik van een bekende kwetsbaarheid in Apache Hadoop YARN RPC, een fout die sinds 2021 wordt uitgebuit. Hierdoor bereikt het Gorilla-botnet uitvoering van externe code op geïnfecteerde apparaten, waardoor het de mogelijkheid krijgt om op lange termijn controle te houden over deze systemen. Persistentie wordt verzekerd door servicebestanden te maken die automatisch een shellscript uitvoeren wanneer het systeem opstart of een gebruiker inlogt.
Strategieën voor tegendetectie
Wat echt zorgwekkend is aan Gorilla is hoe goed het detectie ontwijkt. Volgens NSFOCUS gebruikt het botnet encryptietechnieken om belangrijke informatie te verbergen, waardoor het voor cybersecurityprofessionals moeilijk is om de malware te detecteren en neutraliseren. Het leent ook encryptiemethoden van de Keksec-groep, een berucht collectief dat bekendstaat om het ontwikkelen van malware gericht op IoT-apparaten en cloudsystemen. De combinatie van deze strategieën stelt het Gorilla-botnet in staat om gedurende langere perioden controle te houden over geïnfecteerde apparaten zonder te worden gedetecteerd.
Waarom het je zou moeten interesseren
De snelle uitbreiding van het Gorilla-botnet en zijn vermogen om grootschalige DDoS-aanvallen uit te voeren in zo'n breed scala aan sectoren, maken het een formidabele bedreiging voor bedrijven, overheden en individuen. Naarmate IoT-apparaten steeds gebruikelijker worden in huizen en industrieën, blijft het risico op botnet-aangedreven aanvallen toenemen. Voor organisaties, met name die in de beoogde sectoren, is het van cruciaal belang om onmiddellijke stappen te ondernemen om de cybersecurityverdediging te versterken om dit soort aanvallen te beperken.
De opkomst van het Gorilla-botnet is een duidelijke herinnering dat cyberbedreigingen evolueren en agressiever en geavanceerder worden. Of u nu een individu bent die IoT-apparaten thuis beheert of een bedrijf dat kritieke infrastructuur beheert, om deze bedreigingen voor te blijven, zijn constante waakzaamheid en proactieve cyberbeveiligingsmaatregelen vereist. Met botnets als Gorilla in het wild is dit niet het moment om zelfgenoegzaam te zijn.
Organisaties moeten nauw samenwerken met cybersecuritybedrijven en op de hoogte blijven van de nieuwste kwetsbaarheden en bedreigingen om hun netwerken te beschermen.
