Una nueva botnet llamada Gorilla ha sido responsable de una oleada masiva de ataques distribuidos de denegación de servicio (DDoS) en más de 100 países, según informes de investigadores de ciberseguridad.
Investigadores de la empresa de ciberseguridad NSFOCUS han identificado una peligrosa nueva variante de malware de botnet denominada Gorilla o GorillaBot, una versión modificada del código fuente filtrado de la famosa botnet Mirai. Desde su aparición, Gorilla ha lanzado más de 300.000 comandos de ataque DDoS entre el 4 y el 27 de septiembre de 2024, según ha informado la compañía.
Durante este periodo, la botnet ha atacado infraestructuras críticas en más de 100 países, afectando a universidades, sitios web gubernamentales, empresas de telecomunicaciones, bancos, plataformas de juegos y apuestas, entre otros sectores. Los países más golpeados por esta nueva amenaza han sido China, Estados Unidos, Canadá y Alemania.
Una amenaza a escala global
GorillaBot ha demostrado ser una de las botnets más activas y peligrosas del año, lanzando, en promedio, más de 20.000 comandos DDoS diarios. Estos ataques han sido diseñados para inundar sus objetivos con un tráfico masivo de datos, colapsando sus servidores y dejando fuera de servicio a varias instituciones clave.
El malware emplea diversas técnicas de ataque DDoS, entre las que destacan las inundaciones UDP, las inundaciones SYN, y ataques específicos como las inundaciones Valve Source Engine (VSE), un método que aprovecha las vulnerabilidades de servidores de juegos en línea. Además, la botnet utiliza la naturaleza sin conexión del protocolo UDP para suplantar IPs de origen de manera arbitraria, lo que le permite generar grandes cantidades de tráfico malicioso sin que sea fácil rastrear la fuente original.
Capacidades avanzadas de expansión
Lo que hace a Gorilla una amenaza aún mayor es su capacidad de infectar una amplia gama de dispositivos. Según NSFOCUS, la botnet soporta múltiples arquitecturas de CPU, incluidas ARM, MIPS, x86_64 y x86, lo que le permite expandirse y controlar tanto dispositivos IoT (Internet de las Cosas) como hosts en la nube. Una vez que Gorilla infecta un dispositivo, se conecta a uno de los cinco servidores de comando y control (C2) predefinidos para recibir instrucciones y continuar ejecutando ataques DDoS.
Además, la botnet ha demostrado un alto nivel de sofisticación en términos de persistencia y evasion. Gorilla introduce un archivo de servicio llamado custom.service en el directorio /etc/systemd/system/ del dispositivo infectado, configurándolo para que se ejecute automáticamente en cada reinicio. Este servicio descarga y ejecuta un script de shell desde un servidor remoto, asegurando así que el control de los dispositivos comprometidos se mantenga a largo plazo.
Explotación de vulnerabilidades y evasión de seguridad
En un movimiento especialmente alarmante, los investigadores han descubierto que Gorilla también tiene la capacidad de explotar una vulnerabilidad conocida en Apache Hadoop YARN RPC, que permite la ejecución remota de código. Esta falla de seguridad ha sido explotada desde 2021, lo que muestra que los ciberdelincuentes detrás de la botnet están aprovechando brechas de seguridad antiguas para maximizar su impacto.
La botnet también emplea avanzados algoritmos de cifrado, similares a los utilizados por el grupo Keksec, para ocultar información clave y hacer más difícil su detección por las herramientas de seguridad. Esta capacidad de ocultación y la utilización de múltiples técnicas de persistencia confirman que Gorilla es una botnet altamente consciente de las medidas de contradetección.
El alcance de los daños y el futuro de la seguridad cibernética
Los expertos de NSFOCUS advierten que la capacidad de Gorilla para lanzar ataques a gran escala, su adaptabilidad a diferentes plataformas y su persistencia en dispositivos comprometidos la convierten en una de las mayores amenazas emergentes en el ámbito de la ciberseguridad. Con ataques que ya han afectado a infraestructuras críticas en más de 100 países, la urgencia por implementar medidas de seguridad y mitigación de ataques DDoS es más necesaria que nunca.
Gorilla se suma a la larga lista de variantes de botnets que han surgido a partir del código filtrado de Mirai, pero con capacidades mucho más avanzadas y un enfoque claro en el control de dispositivos IoT y hosts en la nube. Los ataques DDoS se están volviendo cada vez más complejos y difíciles de contrarrestar, lo que plantea serios desafíos tanto para empresas como para gobiernos a nivel global.
Este nuevo malware es un recordatorio de que, en el mundo digital interconectado, la seguridad cibernética debe ser una prioridad constante, y las vulnerabilidades en dispositivos aparentemente inofensivos, como los dispositivos IoT, pueden convertirse en puntos de entrada devastadores para ataques a gran escala.
