Contenidos
Se utiliza una versión actualizada del malware RapperBot para llevar a cabo ataques DDoS en servidores de juegos.
Se está utilizando una nueva versión del malware botnet RapperBot para atacar servidores de juegos con ataques DDoS. Los dispositivos IoT se utilizan como puertas de enlace para llegar a los servidores.
Servidores de juegos atacados por atacantes DDoS
Los actores de amenazas utilizan el malware RapperBot para llevar a cabo ataques de denegación de servicio distribuido (DDoS) en servidores de juegos. Las plataformas Linux corren el riesgo de sufrir ataques de esta botnet altamente peligrosa.
En una publicación de blog de Fortinet, se afirmó que es probable que RapperBot se dirija a servidores de juegos debido a los comandos específicos que admite y la falta de ataques DDoS relacionados con HTTP. Los dispositivos IoT (Internet de las cosas) están en riesgo aquí, aunque parece que RapperBot está más interesado en apuntar a dispositivos más antiguos equipados con el chipset Qualcomm MDM9625.
RapperBot parece apuntar a dispositivos que se ejecutan en arquitecturas ARM, MIPS, PowerPC, SH4 y SPARC, aunque no está diseñado para ejecutarse en conjuntos de chips Intel.
Este no es el debut de RapperBot
RapperBot no es nuevo en el espacio del cibercrimen, aunque no existe desde hace años. RapperBot fue visto por primera vez en la naturaleza en agosto de 2022 por Fortinet, aunque desde entonces se ha confirmado que ha estado en funcionamiento desde mayo del año anterior. En este caso, RapperBot se estaba utilizando para lanzar ataques de fuerza bruta SSH para propagarse en servidores Linux.
Fortinet dijo en la publicación de blog antes mencionada que la diferencia más significativa en esta versión actualizada de RapperBot es “el reemplazo completo del código de fuerza bruta SSH con el equivalente Telnet más habitual”.
Este código Telnet está diseñado para la autopropagación, que se asemeja mucho y puede estar inspirado en la red de bots Mirai IoT más antigua que se ejecuta en procesadores ARC. El código fuente de Mirai se filtró a fines de 2016, lo que llevó a la creación de numerosas versiones modificadas (una de las cuales puede ser RapperBot).
Pero a diferencia de Mirai, esta iteración de los descargadores binarios incorporados de RapperBot se “almacena como cadenas de bytes escapadas, probablemente para facilitar el análisis y el procesamiento dentro del código”, como se indica en la publicación del blog de Fortinet sobre la nueva versión de la botnet.
No se conocen operadores de botnet
Al momento de escribir, los operadores de RapperBot permanecen en el anonimato. Sin embargo, Fortinet dijo que los escenarios más probables son un solo actor malicioso o un grupo de actores con acceso al código fuente. Más información sobre esto puede salir en un futuro próximo.
También es probable que esta versión actualizada de RapperBot sea utilizada por las mismas personas que manejaron la iteración anterior, ya que necesitarían acceso al código fuente para realizar ataques.
La actividad de RapperBot continúa siendo monitoreada
Fortinet concluyó su publicación de blog sobre la variante actualizada de RapperBot asegurando a los lectores que la actividad de malware será monitoreada en el futuro. Por lo tanto, es posible que sigamos viendo más casos de uso de RapperBot a medida que pasa el tiempo.