Un botnet basado en Mirai llamado ShadowV2 emergió durante la caída masiva de AWS a finales de octubre, infectando dispositivos IoT en múltiples industrias y continentes, y podría haber sido una «prueba» para ataques futuros, según Fortinet FortiGuard Labs.
Tras infectar equipos vulnerables para formar un ejército de IoT, ShadowV2 permite a un atacante controlar remotamente la red de dispositivos y lanzar ataques DDoS de gran escala. La campaña afectó a sectores como tecnología, comercio minorista, hostelería, manufactura, proveedores de seguridad gestionada, gobierno, telecomunicaciones, servicios y educación, y alcanzó 28 países: Canadá, Estados Unidos, México, Brasil, Bolivia, Chile, Reino Unido, Países Bajos, Bélgica, Francia, Chequia, Austria, Italia, Croacia, Grecia, Marruecos, Egipto, Sudáfrica, Turquía, Arabia Saudita, Rusia, Kazajistán, China, Tailandia, Japón, Taiwán, Filipinas y Australia.
El malware se propagó aprovechando vulnerabilidades en varios fabricantes como DD-WRT (CVE-2009-2765), D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915), DigiEver (CVE-2023-52163), TBK (CVE-2024-3721) y TP-Link (CVE-2024-53375). Según un analista de Fortinet, la muestra extrae una configuración XOR codificada y se pone en contacto con un servidor de mando y control para recibir comandos y activar ataques DDoS. La cadena de distribución entrega ShadowV2 utilizando binarios con el prefijo shadow desde 81.88.18.108 y muestra la cadena ShadowV2 Build v1.0.0 IoT version.
ShadowV2, descrito como un botnet nativo de la nube, ya había atacado previamente instancias EC2 de AWS en campañas de septiembre, pero la variante más reciente afecta a múltiples sectores y a 28 países: Canadá, EE. UU., México, Brasil, Bolivia, Chile, Reino Unido, Países Bajos, Bélgica, Francia, República Checa, Austria, Italia, Croacia, Grecia, Marruecos, Egipto, Sudáfrica, Turquía, Arabia Saudita, Rusia, Kazajistán, China, Tailandia, Japón, Taiwán, Filipinas y Australia.
Fortinet indica que ShadowV2 es similar a variantes anteriores, pero con mejoras de implementación en la nube; es decir, una nueva generación de IoT conectada y controlada de forma remota. También se señalan indicadores de compromiso para ayudar en la detección y la respuesta. Nuestro equipo consultó a Fortinet y Li señala que ShadowV2 demuestra que IoT sigue siendo una vulnerabilidad crítica en la seguridad.
En la nota de cierre, se recuerda que poco después de ShadowV2, Microsoft informó del mayor ataque DDoS en la nube contra Azure, originado por el botnet AISuru y midiendo 15.72 Tbps, mitigado sin afectar a los clientes. La historia concluye con recomendaciones para proteger IoT: mantener el firmware actualizado, segmentar redes y vigilar tráfico inusual, además de revisar los IOC publicados por Fortinet para facilitar la caza de amenazas.
