Investigadores de Fortinet han detallado una nueva campaña del Pandilla RapperBotque ahora apunta a dispositivos IoT para realizar ataques DoS contra servidores de juegos.
En su último informe, los investigadores notaron que RapperBot se actualizó para usar ataques de fuerza bruta basados en Telnet, similares a la botnet Mirai. Y con el mismo C2, el código fuente del malware y otras métricas similares, los investigadores vincularon los operadores de campaña actuales con los anteriores.
Modus operandi de RapperBot
Las primeras impresiones de RapperBot se vieron a mediados del año pasado, donde los investigadores de Fortinet dijeron en un informe que está trabajando de cerca como el botnet Mirai. Bueno, después de un año y medio, el raperobot es actualizado utilizar fuerza bruta de Telnet para sus operaciones.
Esto es lo que hace la botnet Mirai, también, para que sus ataques de fuerza bruta sean más efectivos. Usando Telnet, los investigadores dijeron que la nueva variante de botnet puede realizar un ataque DoS usando la siguiente secuencia de comandos;
- Registro (utilizado por el cliente)
- Keep-Alive/No hacer nada
- Detenga todos los ataques DoS y finalice el cliente
- Realizar un ataque DoS
- Detener todos los ataques DoS
- Reinicie la fuerza bruta de Telnet
- Detener la fuerza bruta de Telnet
Mientras que el RapperBot original fue diseñado tan despistado que los investigadores no pudieron descubrir su propósito real. Pero ahora, Se ha determinado el interés comercial real de la pandilla: ¡llevar a cabo ataques de denegación de servicio contra servidores de juegos! Como se señala en el informe, la nueva variante de RapperBot puede hacer lo siguiente;
- Inundación UDP genérica
- Inundación TCP SYN
- Inundación TCP ACK
- Inundación TCP STOMP
- UDP SA:MP servidores de juegos de segmentación por inundación que ejecutan GTA San Andreas: multijugador (SA:MP)
- Inundación de Ethernet GRE
- Inundación IP GRE
- Inundación TCP genérica
Con código fuente de malware similar, protocolo C2 y la lista de credenciales utilizadas para intentos de fuerza bruta similares a su variante 2021, Los investigadores vincularon a los operadores de ambas campañas para que fueran iguales.
Y para proteger sus dispositivos IoT de tales infecciones de botnet, es mejor que mantenga su firmware actualizado, reemplace las credenciales predeterminadas por unas sólidas y únicas, y colóquelas todas detrás de un firewall.
