DDoSia Malware actualizado, agregando cifrado

Según la empresa de ciberseguridad Sekoia, los creadores de la herramienta de ataque DDoSia han presentado una nueva versión que incorpora un método diferente para obtener la lista de objetivos a bombardear con solicitudes HTTP basura. La variante actualizada, escrita en Golang, incluye una medida de seguridad adicional para ocultar la lista de objetivos transmitida del comando y control a los usuarios.

Sekoia mencionó que DDoSia se atribuye a un grupo de hackers prorrusos conocido como NoName(057)16. Lanzada inicialmente en 2022 como sucesora de la red de bots Bobik, DDoSia está diseñada para realizar ataques distribuidos de denegación de servicio dirigidos principalmente a ubicaciones en Europa, Australia, Canadá y Japón.

Ataques de verano de 2023 se dirigen a países europeos

Durante el período comprendido entre el 8 de mayo y el 26 de junio de 2023, los países más afectados por los ataques DDoSia fueron Lituania, Ucrania, Polonia, Italia, Chequia, Dinamarca, Letonia, Francia, Reino Unido y Suiza. Un total de 486 sitios web diferentes experimentaron el impacto.

DDoSia se ha implementado en Python y Go, lo que lo convierte en un programa multiplataforma capaz de funcionar en sistemas Windows, Linux y macOS. SentinelOne, en un análisis publicado en enero de 2023, describió a DDoSia como una aplicación de subprocesos múltiples que lleva a cabo ataques de denegación de servicio mediante el envío repetido de solicitudes de red basadas en instrucciones recibidas de un archivo de configuración obtenido de un servidor C2.

La distribución de DDoSia ocurre a través de un proceso automatizado en Telegram, donde las personas pueden registrarse para la iniciativa colaborativa realizando un pago en criptomoneda y recibiendo un archivo ZIP que contiene el kit de herramientas de ataque.

El aspecto notable de la nueva versión es el uso de cifrado para ofuscar la lista de objetivos a atacar, lo que sugiere que los operadores mantienen activamente la herramienta.

¿Por qué Golang se ha convertido en una herramienta popular entre los desarrolladores de malware?

Golang, también conocido como Go, ha ganado popularidad como lenguaje de programación para desarrollar malware debido a varios factores. Aquí hay una respuesta parafraseada:

Golang, o Go, se ha convertido en una opción popular para desarrollar malware debido a varias razones. Primero, Go ofrece una sintaxis limpia y concisa que es fácil de entender y escribir, lo que la convierte en una opción atractiva para los desarrolladores, incluidos aquellos con intenciones maliciosas. Su simplicidad y eficiencia permiten un rápido desarrollo e implementación de malware.

Además, Go proporciona funciones integradas que contribuyen al sigilo y la resiliencia del malware. Por ejemplo, ofrece un sólido soporte para la concurrencia, lo que permite que el malware realice múltiples tareas simultáneamente, lo que dificulta su detección y mitigación. Go también ofrece sólidas capacidades de red, que son esenciales para que el malware se comunique con los servidores de comando y control o lleve a cabo diversas actividades maliciosas.

Otro factor que contribuye a la popularidad de Go en el desarrollo de malware es su capacidad para compilar archivos binarios independientes. Esto significa que el malware escrito en Go no requiere dependencias externas ni entornos de tiempo de ejecución, lo que lo hace más portátil y fácil de distribuir entre diferentes sistemas operativos sin problemas de compatibilidad.