La botnet de EwDoor se centra en los ataques DDoS
EwDoor Botnet es un proyecto relativamente nuevo, que parece estar activo en los Estados Unidos. Aunque el proyecto parece haber estado en línea durante solo unos meses, sus creadores se están aprovechando de una vulnerabilidad muy antigua. El problema en cuestión concierne a los dispositivos de borde de la red empresarial de AT&T, y ha sido público durante más de cuatro años. Por supuesto, los últimos parches de software se aseguran de corregir esta vulnerabilidad, pero muchos dispositivos tienen firmware obsoleto y vulnerable.
La gama exacta de dispositivos a los que se dirigen los operadores de EwDoor Botnet son los que pertenecen al EdgeMarc Enterprise Session Border Controller (ESBC). Desafortunadamente, la actividad de esta botnet parece estar ganando ritmo: se identificaron más de 6,000 dispositivos recientemente comprometidos en solo unas pocas horas.
EwDoor Botnet cuenta con capacidades de puerta trasera y DDoS
Todos los dispositivos infectados pueden recibir comandos del servidor de comando y control del atacante. El implante de EwDoor Botnet tiene capacidades básicas de puerta trasera, que permiten a los atacantes ejecutar comandos remotos, administrar archivos y más. El objetivo principal de la botnet parece ser llevar a cabo ataques distribuidos de denegación de servicio (DDoS) contra sitios web y servicios en línea seleccionados.
Debido a la corta edad de EwDoor Botnet, todavía es imposible saber si sus operadores tienen planes más amplios para su campaña. Esta es una de las muchas redes de bots que se aprovechan de las vulnerabilidades desactualizadas al apuntar a dispositivos que ejecutan software más antiguo. Campañas como la EwDoor Botnet son un recordatorio importante de por qué todos los dispositivos y hardware expuestos a Internet deben protegerse adecuadamente mediante el uso de firmware actualizado y credenciales de inicio de sesión seguras.