Investigadores de seguridad han descubierto una campaña de denegación de servicio (DDoS) distribuida y generalizada que aprovecha herramientas accesibles y apunta a dispositivos IoT y servidores empresariales.
La operación, orquestada por un actor de amenazas conocido como Matrix, destaca cómo un conocimiento técnico mínimo combinado con scripts públicos puede permitir ciberataques a escala global.
El marco de ataque de Matrix, analizado en detalle por Aqua Nautilus, se centra en explotar vulnerabilidades y configuraciones incorrectas en dispositivos conectados a Internet.
La campaña emplea ataques de fuerza bruta, credenciales débiles y exploits conocidos para construir una botnet capaz de causar interrupciones significativas. Esto refleja una tendencia creciente en la que los «script kiddies» aprovechan herramientas disponibles públicamente para ejecutar ataques sofisticados.
La operación de Matrix es un enfoque integral del tipo «hágalo usted mismo», que escanea, explota e implementa malware en:
-Enrutadores: los exploits incluyen vulnerabilidades como CVE-2017-18368 y CVE-2021-20090
-DVR y cámaras IP: uso de fallas en dispositivos con la plataforma Hi3520 para acceso no autorizado
-Protocolos empresariales: apunta a YARN de Apache Hadoop, servidores HugeGraph y configuraciones incorrectas de SSH
-Dispositivos IoT: exploits en distribuciones ligeras de Linux como uClinux en equipos de telecomunicaciones
Los ataques se basan en gran medida en contraseñas predeterminadas o débiles, y el 80 % de las credenciales identificadas están vinculadas a usuarios root o administradores. Estas tácticas enfatizan cómo el hecho de no adoptar medidas de seguridad básicas, como cambiar las credenciales predeterminadas de fábrica, expone los dispositivos a riesgos.
Los ataques de Matrix se dirigen a proveedores de servicios en la nube (CSP), empresas más pequeñas y regiones con un gran uso de IoT como China y Japón. El análisis reveló que podrían verse afectados hasta 35 millones de dispositivos potenciales, lo que sugiere una botnet de entre 350.000 y 1,7 millones de dispositivos, según las tasas de vulnerabilidad.
La campaña subraya un cambio hacia la explotación de vulnerabilidades corporativas junto con los sistemas de IoT. Históricamente, la criptominería dominaba este tipo de ataques, pero el enfoque de Matrix incluye servidores de producción y desarrollo, lo que amplifica el riesgo para los entornos empresariales.
Matrix utiliza una combinación de scripts basados en Python, Shell y Golang provenientes de GitHub y otras plataformas. Herramientas como las variantes de Mirai, los escáneres SSH y los bots de Discord resaltan la integración de marcos preexistentes en campañas personalizadas. El actor de amenazas también monetiza servicios a través de Telegram, ofreciendo planes DDoS para pagos con criptomonedas.
Si bien Matrix parece carecer de capacidades avanzadas, la facilidad para ensamblar y operar estas herramientas ejemplifica el creciente riesgo que plantean los actores poco sofisticados armados con recursos accesibles.
Abordar estas amenazas requiere medidas de seguridad sólidas, que incluyen actualizaciones periódicas, credenciales sólidas y monitoreo de vulnerabilidades expuestas.