Botnet Mirai
¿Qué es Botnet Mirai?
Botnet MiraiFamilia de malware IoT identificada en 2016 que recluta routers, cámaras y DVR mediante credenciales por defecto y participó en el DDoS contra Dyn que tumbó gran parte de internet en EE. UU.
Mirai es una familia de malware IoT identificada en agosto de 2016 que escanea Internet en busca de dispositivos Linux —routers, cámaras IP, DVR— con Telnet (más tarde SSH) expuesto y prueba una lista de credenciales por defecto. Los dispositivos infectados se conectan a un servidor C2 y pueden lanzar DDoS de gran volumen: HTTP, UDP, TCP-SYN y amplificación DNS. Mirai se usó en el ataque de septiembre de 2016 contra el sitio de Brian Krebs (~620 Gbps), en el ataque de octubre de 2016 al proveedor DNS Dyn que afectó a Twitter, Spotify, Netflix y muchos otros, y contra el hoster francés OVH (>1 Tbps). En octubre de 2016 se publicó el código fuente, lo que originó múltiples ramas (Satori, Okiru, Owari, Mozi). Tres autores estadounidenses (Paras Jha, Josiah White, Dalton Norman) acabaron declarándose culpables.
● Ejemplos
- 01
Escanear la IPv4 buscando Telnet en el puerto 23 y probar más de 60 credenciales por defecto como admin/admin o root/xc3511.
- 02
Lanzar un DDoS de varios Tbps que dejó fuera de servicio al proveedor DNS Dyn en octubre de 2016.
● Preguntas frecuentes
¿Qué es Botnet Mirai?
Familia de malware IoT identificada en 2016 que recluta routers, cámaras y DVR mediante credenciales por defecto y participó en el DDoS contra Dyn que tumbó gran parte de internet en EE. UU. Pertenece a la categoría de OT / ICS / IoT en ciberseguridad.
¿Qué significa Botnet Mirai?
Familia de malware IoT identificada en 2016 que recluta routers, cámaras y DVR mediante credenciales por defecto y participó en el DDoS contra Dyn que tumbó gran parte de internet en EE. UU.
¿Cómo funciona Botnet Mirai?
Mirai es una familia de malware IoT identificada en agosto de 2016 que escanea Internet en busca de dispositivos Linux —routers, cámaras IP, DVR— con Telnet (más tarde SSH) expuesto y prueba una lista de credenciales por defecto. Los dispositivos infectados se conectan a un servidor C2 y pueden lanzar DDoS de gran volumen: HTTP, UDP, TCP-SYN y amplificación DNS. Mirai se usó en el ataque de septiembre de 2016 contra el sitio de Brian Krebs (~620 Gbps), en el ataque de octubre de 2016 al proveedor DNS Dyn que afectó a Twitter, Spotify, Netflix y muchos otros, y contra el hoster francés OVH (>1 Tbps). En octubre de 2016 se publicó el código fuente, lo que originó múltiples ramas (Satori, Okiru, Owari, Mozi). Tres autores estadounidenses (Paras Jha, Josiah White, Dalton Norman) acabaron declarándose culpables.
¿Cómo defenderse de Botnet Mirai?
Las defensas contra Botnet Mirai combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Botnet Mirai?
Nombres alternativos comunes: Mirai, Malware Mirai.
● Términos relacionados
- ot-iot№ 551
Botnet IoT
Red de dispositivos IoT comprometidos controlados remotamente para lanzar ataques como DDoS, credential stuffing, fraude de clics o cryptomining.
- malware№ 119
Botnet
Red de dispositivos conectados a Internet infectados por malware y controlados remotamente por un atacante para ejecutar acciones coordinadas.
- attacks№ 329
Ataque distribuido de denegación de servicio (DDoS)
Ataque de denegación de servicio lanzado desde muchas fuentes distribuidas a la vez —normalmente una botnet— para saturar el ancho de banda, la infraestructura o la aplicación del objetivo.
- attacks№ 290
Amplificación DDoS
Técnica de DDoS que abusa de servicios basados en UDP para reflejar respuestas mucho mayores que la petición falsificada, permitiendo a atacantes pequeños generar inundaciones masivas.
- ot-iot№ 552
Seguridad de IoT
Disciplina que protege dispositivos, pasarelas, redes y servicios en la nube del Internet de las Cosas frente a compromisos, dada su escala, recursos limitados y largo ciclo de vida.
- malware№ 201
Mando y control (C2)
Infraestructura y canales que los atacantes usan para mantener comunicación con los sistemas comprometidos y enviarles instrucciones.