HinataBot es un nuevo malware escrito en GoLang
Una botnet recientemente descubierta llamada HinataBot, construida en la plataforma Golang, está aprovechando las vulnerabilidades conocidas en los enrutadores y servidores para lanzar ataques de denegación de servicio distribuido (DDoS).
El creador del malware parece haberlo nombrado en honor a un personaje de la serie de anime Naruto. La botnet se distribuye a través de varios métodos, incluida la explotación de fallas de seguridad en los enrutadores Huawei HG532 y los dispositivos Realtek SDK, y los servidores Hadoop YARN expuestos. Los atacantes se están aprovechando de vulnerabilidades sin parches y credenciales débiles, que son puntos de entrada bien conocidos y documentados que no requieren tácticas complejas de ingeniería social.
Los atacantes detrás de HinataBot han estado activos desde al menos diciembre de 2022, y cambiaron de una variante genérica de Mirai a su malware personalizado en enero de 2023. Los artefactos recientes detectados en los honeypots HTTP y SSH de Akamai indican que HinataBot todavía está en desarrollo activo y evolucionando. El malware puede comunicarse con un servidor de comando y control (C2) para recibir instrucciones y lanzar ataques contra una dirección IP específica durante un período específico.
Si bien las primeras versiones de HinataBot podían usar varios protocolos para ataques DDoS, la última versión solo usa HTTP y UDP, y el motivo de este cambio aún no está claro.
¿Cómo se utilizan las botnets similares a HinataBot para ejecutar ataques DDoS?
Las botnets como HinataBot se utilizan con frecuencia para lanzar ataques DDoS. En un ataque DDoS, se utiliza una gran cantidad de dispositivos, a menudo computadoras comprometidas o dispositivos de Internet de las cosas (IoT), para inundar un objetivo con una cantidad abrumadora de tráfico. Esta avalancha de tráfico hace que el sistema de destino se ralentice, deje de responder o incluso se bloquee.
Una botnet es una red de dispositivos que han sido comprometidos y están bajo el control de un pirata informático o un grupo de piratas informáticos. Una vez que un dispositivo se ve comprometido, los operadores de la botnet pueden controlarlo de forma remota, sin el conocimiento del propietario. Estos dispositivos comprometidos luego se utilizan para lanzar ataques DDoS, con los operadores de la botnet dirigiendo los dispositivos para enviar tráfico a una dirección IP o dominio de destino.
HinataBot, al igual que otras redes de bots, se puede usar para lanzar una variedad de ataques DDoS, incluidos ataques volumétricos que inundan el objetivo con tráfico, ataques de capa de aplicación que se enfocan en vulnerabilidades específicas en la capa de aplicación y ataques de protocolo que explotan vulnerabilidades en protocolos de red. La capacidad de lanzar este tipo de ataques convierte a las redes de bots en una herramienta poderosa para los ciberdelincuentes que buscan interrumpir o eliminar servicios en línea.
Para evitar convertirse en parte de una botnet, es importante mantener los dispositivos actualizados con los parches de seguridad más recientes, usar contraseñas seguras y autenticación de dos factores, y tener cuidado al descargar software o hacer clic en enlaces de fuentes desconocidas. También es esencial contar con un plan de protección DDoS para mitigar el impacto de un ataque.
