Una nueva amenaza cibernética, conocida como GorillaBot, ha emergido en el ámbito global, afectando a universidades, bancos y gobiernos en todo el mundo con una oleada de ataques distribuido de denegación de servicio (DDoS). Este fenómeno ha sido identificado por NSFOCUS, una empresa especializada en ciberseguridad, que ha detectado una preocupante variante de la conocida botnet Mirai.
Entre el 4 y el 27 de septiembre de 2024, GorillaBot lanzó más de 300,000 ataques DDoS en un período de tres semanas, afectando a 100 países diferentes. Durante estos días, la botnet realizó un promedio de 20,000 comandos de ataque diarios. Entre los países más afectados se encuentran China, Estados Unidos, Canadá y Alemania, donde la ofensiva se centró en sobrecargar sistemas de organizaciones gubernamentales y privadas, creando una saturación de tráfico de datos que paralizó sus servicios.
La sofisticación de GorillaBot la distingue de otras botnets. Soporta múltiples arquitecturas de CPU, como ARM, MIPS, x86_64 y x86, lo que le permite infiltrarse en una variedad de dispositivos, incluidos IoT y servidores en la nube. Una vez que un dispositivo es comprometido, GorillaBot se conecta a uno de los cinco servidores de comando y control (C2) predefinidos, desde donde recibe instrucciones para desplegar los ataques DDoS. La botnet emplea técnicas de ataque diversas, como inundaciones UDP, ACK BYPASS, Valve Source Engine (VSE), SYN y ACK, habilitándole para ejecutar ataques masivos altamente destructivos.
Un aspecto especialmente preocupante de GorillaBot es su capacidad para explotar una vulnerabilidad en Apache Hadoop YARN RPC, permitiendo la ejecución remota de código en sistemas comprometidos. Esta falla, utilizada desde 2021 con fines maliciosos, facilita a los atacantes el control sobre servidores Hadoop, ampliando así el impacto de sus ataques. GorillaBot consolida su presencia a largo plazo en los sistemas contaminados mediante la creación de archivos de servicio personalizados y la modificación de archivos del sistema clave, como /etc/inittab y /etc/profile, para asegurar la ejecución continua de scripts maliciosos.
La resistencia de GorillaBot a la detección complica aún más la labor de los defensores cibernéticos. Emplea algoritmos de cifrado avanzados, comúnmente utilizados por el grupo Keksec, lo que le permite ocultar información crítica y mantener el control sobre dispositivos comprometidos durante largos periodos. NSFOCUS advierte que GorillaBot es una botnet emergente con una elevada capacidad para evadir la detección y controlar a largo plazo dispositivos IoT y hosts en la nube.
Este nuevo reto para la ciberseguridad destaca la creciente sofisticación de las botnets y la facilidad con la que explotan vulnerabilidades conocidas para efectuar ataques masivos. La proliferación de dispositivos IoT y la expansión de servicios en la nube incrementa los vectores de ataque disponibles para los cibercriminales. Ante esta amenaza, se hace imperante que las organizaciones fortalezcan sus medidas defensivas, implementen soluciones de detección avanzada y mantengan actualizados sus sistemas para prevenir la explotación de vulnerabilidades.
Así, GorillaBot subraya la necesidad constante de vigilancia y adaptación en el campo de la ciberseguridad global, donde los ataques DDoS continúan presentándose como una de las formas más devastadoras de ciberdelito. La comunidad especializada seguirá de cerca el comportamiento de GorillaBot y otros actores maliciosos, en un esfuerzo concertado para prever y prevenir nuevas olas de ataques devastadores.
