De Mirai a Gayfemboy, mismo perro diferentes pulgas.

En esta entrada, hablaremos de la evolución de las botnets y sus Implicaciones para la ciberseguridad usando como referencias a la botnet Mirai y a su descendiente más reciente, la botnet Gayfenboy.

Pocas botnets han dejado una huella tan perdurable como Mirai. Desde su irrupción en 2016, ha inspirado una nueva generación de variantes que aprovechan sus bases tecnológicas y las adaptan a las necesidades actuales. Una de estas variantes emergentes es Gayfemboy, una botnet que ha capturado la atención de los investigadores de seguridad por su innovación y persistencia.

Exploramos primeramente la historia de Mirai, sin duda el pionero en este apartado y una influencia en el desarrollo de otras botnets. Analizaremos someramente su historia, motivos, objetivos y tecnologías y las lecciones que debemos aprender para enfrentarnos a esta evolución de las amenazas.

Mirai fue creada en 2016 por tres estudiantes universitarios, Paras Jha, Josiah White y Dalton Norman. Una vez desplegada fue utilizada para llevar a cabo un ataque de DDoS masivo contra un importante proveedor de servicios de DNS, causando interrupciones en servicios como Twitter, Netflix y Reddit, demostrando así su capacidad destructiva de las redes de dispositivos infectados.

Mirai fue diseñada inicialmente como una herramienta para realizar ataques distribuidos de denegación de servicio (DDoS) y como un programa maligno especializado en comprometer dispositivos del Internet de las Cosas (IoT), como cámaras de seguridad, grabadores de video y enrutadores.

Mirai utilizaba una lista predefinida de combinaciones de usuario y contraseña y se enfocaba en dispositivos IoT con configuraciones de seguridad deficientes. Dada su arquitectura modular, que permitía la integración de nuevas capacidades, facilitando su adaptación por otros actores maliciosos tras la publicación de su código fuente.

En la fase de infección inicial, localizaba dispositivos vulnerables, apuntando principalmente a dispositivos IoT (Internet of Things) como cámaras IP, DVR y enrutadores domésticos con credenciales predeterminadas o débiles.

En segunda mediante un método de ataque basado en la utilización un diccionario de credenciales realizaba ataques de fuerza bruta.

Su arquitectura de comando y control (C&C), permitía que los dispositivos infectados se conectasen a un servidor central desde donde se emitían los comandos para ataques DDoS.

El código fuente fue diseñado para ser fácilmente extensible, permitiendo añadir funcionalidades nuevas como cargas útiles más complejas.

En la fase de persistencia, se puede decir que Mirai no implemento mecanismos sofisticados para persistir tras un reinicio, ya que su enfoque es la infección masiva en tiempo real.

Finalmente, emanaba el ataque de DDoS empleando múltiples vectores como TCP SYN Flood, UDP Flood, y GRE Flood, permitiendo saturar tanto ancho de banda como recursos de procesamiento en los objetivos.

El código fuente de Mirai fue públicamente liberado en foros clandestinos, lo que permitió a otros actores de amenazas modificarlo y adaptarlo a sus necesidades. Y así, emerge con los años la botnet Gayfemboy, una variante de Mirai que ha evolucionado significativamente desde su detección inicial en febrero de 2024.

A diferencia de otras variantes de Mirai de corta duración, Gayfemboy ha demostrado una capacidad notable para mantenerse activa y expandirse, agregando aproximadamente 15000 nodos activos diariamente.

Gayfemboy ha logrado evolucionar en un entorno donde los dispositivos IoT son más numerosos y complejos. Aunque toma prestado de Mirai, también introduce mejoras significativas e innovaciones clave. 

Ejerce una activa explotación de vulnerabilidades de día cero, como las aprovechadas en fallos en dispositivos Four-Faith (CVE-2024-12856), Neterbit y Vimar. Además de su ofuscación avanzada capaz de modificar el empaquetado UPX para evitar detección por herramientas estándar y finalmente el mejoramiento de su persistencia que implementa métodos para ocultar procesos y dificultar su eliminación.

Gayfemboy ha dirigido ataques DDoS a múltiples objetivos en regiones como China, Estados Unidos y Europa, afectando tanto a empresas como a infraestructuras críticas. No cabe duda de que su capacidad para infectar dispositivos IoT industriales la hace especialmente peligrosa. Lo cierto es que Gayfemboy no existiría sin Mirai, ya que ambos comparten una filosofía central: explotar la debilidad inherente en los dispositivos IoT.

Sin embargo, mientras Mirai actuaba como un "martillo" para ataques masivos, Gayfemboy es más como un "bisturí", apuntando a objetivos específicos con mayor sofisticación. Este paralelismo subraya cómo las amenazas evolucionan para adaptarse a nuevos escenarios tecnológicos y de seguridad.

¿Qué lecciones insiste en enseñarnos esta nueva botnet? En primer lugar, que mantener una cultura de fortalecimiento continuo de credenciales, es decir; reforzar el uso de contraseñas fuertes como una barrera fundamental contra la mayoría de estas botnets. Sumado, los dispositivos IoT deben mantenerse actualizados para corregir vulnerabilidades conocidas y debemos mantener sistemas de detección de intrusos pueden identificar comportamientos anómalos. Finalmente, debe aislarse los dispositivos IoT en sub-redes separadas para limitar el alcance de posibles ataques.

Mirai y Gayfemboy son recordatorios contundentes de la necesidad de una ciberseguridad proactiva y con mejoras iterativas. Las botnets no solo evolucionan tecnológicamente, sino también en su impacto potencial. Como profesionales y usuarios, debemos estar un paso adelante, comprendiendo y mitigando estas amenazas antes de que se conviertan en crisis.