Nytt Gorilla Botnet släpper lös över 300 000 DDoS-attacker i 100 länder
Cybersäkerhet står inför ett nytt hot, och dess namn är Gorilla – annars känd som GorillaBot. Detta botnät, en variant av det ökända Mirai-botnätet, har släppt lös en ström av DDoS-attacker (Distributed Denial-of-Service) och överträffat 300 000 angrepp i 100 länder på bara några veckor. Enligt cybersäkerhetsföretaget NSFOCUS inträffade denna obevekliga våg av attacker mellan 4 september och 27 september 2024, vilket skapade global förödelse.
Table of Contents
Omfattningen av Gorilla Botnets räckvidd
På en knapp månad har Gorilla-botnätet utfärdat i genomsnitt 20 000 DDoS-attackkommandon per dag. Länder som USA, Kina, Kanada och Tyskland har dykt upp som dess primära mål, med ett brett utbud av sektorer – universitet, telekomleverantörer, banker och till och med spel- och spelindustrin – som drabbats. Det som gör detta ännu mer alarmerande är omfattningen av dessa attacker.
Botnätet använder främst olika attackvektorer, inklusive UDP-flod, ACK BYPASS-flod, Valve Source Engine (VSE)-flod, SYN-flod och ACK-flod. Dessa metoder är utformade för att överväldiga de riktade systemen med trafik, vilket gör det svårt, för att inte säga omöjligt, för dem att fungera normalt. Särskilt oroande är användningen av UDP-översvämningsattacker, som utnyttjar UDP-protokollets anslutningslösa natur för att generera en överväldigande mängd trafik genom att spoofa käll-IP-adresser.
En mycket sofistikerad skadlig programvara
Utöver dess stora volym är det som skiljer Gorilla-botnätet dess sofistikerade. Botnätet är utformat för att fungera över flera CPU-arkitekturer, inklusive ARM, MIPS, x86_64 och x86, vilket gör att det kan infiltrera ett brett spektrum av enheter. När skadlig programvara infekterar ett system ansluter den till en av fem fördefinierade kommando-och-kontroll-servrar (C2) för att ta emot nya DDoS-kommandon.
Dessutom utnyttjar skadlig programvara en känd sårbarhet i Apache Hadoop YARN RPC, ett fel som har utnyttjats sedan 2021. Genom att göra det uppnår Gorilla-botnätet fjärrkörning av kod på infekterade enheter, vilket ger den möjlighet att behålla långsiktig kontroll över dessa system. Persistens säkerställs genom att skapa tjänstefiler som automatiskt kör ett skalskript när systemet startar eller en användare loggar in.
Motdetektionsstrategier
Det som verkligen är oroande med Gorilla är hur väl den undviker upptäckt. Enligt NSFOCUS använder botnätet krypteringstekniker för att dölja nyckelinformation, vilket gör det svårt för cybersäkerhetsproffs att upptäcka och neutralisera skadlig programvara. Det lånar också krypteringsmetoder från Keksec-gruppen, ett ökänt kollektiv känt för att utveckla skadlig programvara riktad mot IoT-enheter och molnsystem. Kombinationen av dessa strategier gör att Gorilla-botnätet kan behålla kontrollen över infekterade enheter under längre perioder utan att upptäckas.
Varför du borde bry dig
Gorilla-botnätets snabba expansion och dess förmåga att utföra storskaliga DDoS-attacker inom ett så brett spektrum av sektorer gör det till ett formidabelt hot mot både företag, regeringar och individer. När IoT-enheter blir allt vanligare i hem och industrier fortsätter risken för botnätdrivna attacker att växa. För organisationer, särskilt de inom de riktade sektorerna, är det avgörande att vidta omedelbara åtgärder för att stärka cybersäkerhetsförsvaret för att mildra den här typen av attacker.
Framväxten av Gorilla-botnätet är en skarp påminnelse om att cyberhot utvecklas, blir mer aggressiva och sofistikerade. Oavsett om du är en individ som hanterar IoT-enheter i hemmet eller ett företag som kör kritisk infrastruktur, krävs ständig vaksamhet och proaktiva cybersäkerhetsåtgärder för att ligga steget före dessa hot. Med botnät som Gorilla i naturen är det inte dags att vara självbelåten nu.
Organisationer bör arbeta nära med cybersäkerhetsföretag och hålla sig uppdaterade om de senaste sårbarheterna och hoten för att skydda sina nätverk.
