Los ataques con botnets se disparan contra servidores PHP y dispositivos inteligentes
Diversos investigadores de ciberseguridad han alertado acerca de un aumento de ataques automatizados que son dirigidos a servidores PHP, dispositivos IoT y pasarelas en la nube, por parte de múltiples botnets, tales como Mirai, Gafgut y Mozi, solo por nombrar algunos.
Estas campañas automáticas han explotado vulnerabilidades CVE conocidas y errores de configuración en la nube, con el objetivo de tomar el control de sistemas expuestos y expandir las redes de bots. Esto lo han señalado diversos equipos de investigación de amenazas, en un informe compartido con medios digitales.
Según los expertos, los servidores PHP se han convertido en los blancos más frecuentes debido al uso masivo de sistemas de gestión de contenido, tales como WordPress y Craft CMS. Esta situación puede ampliar enormemente la superficie de ataque, debido a que muchas implementaciones de PHP sufren configuraciones erróneas, complementos y temas obsoletos, además de almacenamiento inseguro de archivos.
De igual manera, los ciberdelincuentes siguen buscando credenciales, claves API y tokens de acceso en servidores expuestos en Internet, con el objeto de tomar el control de sistemas vulnerables. Esto además de aprovechar fallas conocidas en dispositivos IoT para integrarlos en botnets, como una vulnerabilidad de ejecución remota del código en Spring Cloud Gateway.
Los investigadores han añadido que la actividad de escaneo ha podido originarse en infraestructuras en la nube como Amazon Web Services o AWS, Google Cloud, Microsoft Azure, Digital Ocean y Akamai Cloud, lo que demuestra cómo los actores de amenazas abusan de servicios legítimos para ocultar su verdadera procedencia.
Al día de hoy, los atacantes no necesitan un alto nivel técnico para ser efectivos, han señalado diversos informes. Con kits de explotación, frameworks de botnets y herramientas de escaneo disponibles libremente, incluso los cibercriminales novatos pueden causar daños importantes.
TIC Defense se enfoca en proveer servicios y productos de ciberseguridad enfocados en la protección de tu empresa. Además, la prevención y la respuesta rápida a incidentes van a aumentar las defensas informáticas de la organización y no va a dar cabida a los ciberdelincuentes que intenten explotar vulnerabilidades.
Para mitigar los riesgos, se ha recomendado mantener los dispositivos actualizados, eliminar herramientas de desarrollo y depuración en entornos productivos, además de proteger secretos por medio de servicios en la nube y restringir el acceso público a la infraestructura en la nube.
Antes, las botnets se asociaban principalmente a ataques DDoS masivos o fraudes de criptominería, en la era de las amenazas centradas en la identidad, están asumiendo un nuevo papel dentro del ecosistema de riesgos, según lo explicado algunos especialistas en el tema.
Tener acceso a una gran red de routers y sus direcciones IP, permite a los hackers maliciosos ejecutar ataques de relleno de credenciales y pulverización de contraseñas a gran escala. Igualmente, las botnets pueden evadir los controles de geolocalización al robar credenciales o secuestrar sesiones del navegador.
Del mismo modo, las botnets pueden usar nodos cercanos a la ubicación real de las víctimas, incluso con el mismo proveedor de Internet asignado para evitar alertas por acceso sospechosos.
Estas botnets incorporan capacidades avanzadas de ataque DDoS y funciones multifunción que permiten, además de los ataques de denegación de servicio, otras actividades criminales como relleno de credenciales, web scraping impulsado por inteligencia artificial, envío masivo de spam y campañas de phishing, según lo indicado por las empresas de ciberseguridad.
