Nowy botnet Gorilla wyzwala ponad 300 000 ataków DDoS w 100 krajach
Cyberbezpieczeństwo stoi w obliczu nowego zagrożenia, a jego nazwa to Gorilla — inaczej znany jako GorillaBot. Ten botnet, wariant niesławnego botnetu Mirai, uwolnił potok ataków typu Distributed Denial-of-Service (DDoS), przekraczając liczbę 300 000 ataków w 100 krajach w ciągu zaledwie kilku tygodni. Według firmy zajmującej się cyberbezpieczeństwem NSFOCUS ta nieustanna fala ataków miała miejsce między 4 a 27 września 2024 r., powodując globalne spustoszenie.
Table of Contents
Zakres zasięgu botnetu Gorilla
W ciągu niecałego miesiąca botnet Gorilla wydał średnio 20 000 poleceń ataku DDoS dziennie. Kraje takie jak USA, Chiny, Kanada i Niemcy stały się jego głównymi celami, a szeroki zakres sektorów — uniwersytety, dostawcy usług telekomunikacyjnych, banki, a nawet branża gier i hazardu — został zaatakowany. To, co czyni to jeszcze bardziej alarmującym, to skala, na jaką te ataki mają miejsce.
Botnet wykorzystuje przede wszystkim różne wektory ataku, w tym UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood i ACK flood. Metody te są zaprojektowane tak, aby przytłoczyć docelowe systemy ruchem, utrudniając, jeśli nie uniemożliwiając, ich normalne funkcjonowanie. Szczególne obawy budzi wykorzystanie ataków UDP flood, które wykorzystują bezpołączeniową naturę protokołu UDP do generowania przytłaczającej ilości ruchu poprzez podszywanie się pod źródłowe adresy IP.
Wysoce wyrafinowane złośliwe oprogramowanie
Oprócz samej objętości, to co wyróżnia botnet Gorilla, to jego wyrafinowanie. Botnet jest zaprojektowany do pracy w wielu architekturach CPU, w tym ARM, MIPS, x86_64 i x86, co pozwala mu infiltrować szeroką gamę urządzeń. Gdy złośliwe oprogramowanie zainfekuje system, łączy się z jednym z pięciu wstępnie zdefiniowanych serwerów poleceń i kontroli (C2), aby otrzymywać nowe polecenia DDoS.
Ponadto złośliwe oprogramowanie wykorzystuje znaną lukę w Apache Hadoop YARN RPC, wadę, która jest wykorzystywana od 2021 r. W ten sposób botnet Gorilla osiąga zdalne wykonanie kodu na zainfekowanych urządzeniach, co daje mu możliwość utrzymania długoterminowej kontroli nad tymi systemami. Trwałość jest zapewniona poprzez tworzenie plików usług, które automatycznie wykonują skrypt powłoki za każdym razem, gdy system się uruchamia lub użytkownik się loguje.
Strategie przeciwdziałania wykrywaniu
Co naprawdę niepokoi w przypadku Gorilli, to to, jak dobrze unika wykrycia. Według NSFOCUS botnet wykorzystuje techniki szyfrowania, aby ukryć kluczowe informacje, co utrudnia specjalistom ds. cyberbezpieczeństwa wykrywanie i neutralizowanie złośliwego oprogramowania. Zapożycza również metody szyfrowania od grupy Keksec, znanego kolektywu znanego z tworzenia złośliwego oprogramowania skierowanego na urządzenia IoT i systemy chmurowe. Połączenie tych strategii pozwala botnetowi Gorilla utrzymywać kontrolę nad zainfekowanymi urządzeniami przez dłuższy czas bez wykrycia.
Dlaczego powinno Cię to obchodzić
Szybka ekspansja botnetu Gorilla i jego zdolność do przeprowadzania ataków DDoS na dużą skalę w tak szerokim zakresie sektorów sprawiają, że jest on poważnym zagrożeniem dla firm, rządów i osób fizycznych. W miarę jak urządzenia IoT stają się coraz powszechniejsze w domach i przemyśle, ryzyko ataków kierowanych przez botnety stale rośnie. Dla organizacji, zwłaszcza tych z docelowych sektorów, podjęcie natychmiastowych kroków w celu wzmocnienia obrony cyberbezpieczeństwa ma kluczowe znaczenie dla złagodzenia tego rodzaju ataków.
Pojawienie się botnetu Gorilla jest jaskrawym przypomnieniem, że cyberzagrożenia ewoluują, stając się bardziej agresywne i wyrafinowane. Niezależnie od tego, czy jesteś osobą zarządzającą urządzeniami IoT w domu, czy przedsiębiorstwem zarządzającym krytyczną infrastrukturą, wyprzedzanie tych zagrożeń wymaga stałej czujności i proaktywnych środków cyberbezpieczeństwa. Mając botnety takie jak Gorilla na wolności, teraz nie jest czas na samozadowolenie.
Organizacje powinny ściśle współpracować z firmami zajmującymi się cyberbezpieczeństwem i być na bieżąco z najnowszymi lukami w zabezpieczeniach i zagrożeniami, aby chronić swoje sieci.
