Barracuda full logo

Principales amenazas del panorama de botnets de 2024

Temas:
21 mar 2025
|
Christine Barry

Nuestra última publicación sobre botnets exploró la terminología, arquitecturas y capacidades de estas versátiles herramientas de ataque. Esta publicación examinará más de cerca los botnets más dominantes del último año. 

El botnet más grande conocido fue el botnet 911 S5 que fue desmantelado en 2024. En su apogeo, tenía alrededor de 19 millones de bots activos operando en 190 países. El 911 S5 se propagó a través de aplicaciones VPN infectadas, como MaskVPN, DewVPN, ShieldVPN, y algunas más. Un botnet puede incluir computadoras personales, servidores empresariales, dispositivos móviles y dispositivos de Internet de las Cosas (IoT) como termostatos inteligentes, cámaras y enrutadores. La composición del botnet depende del malware. Por ejemplo, el nuevo botnet Eleven11bot solo utiliza dispositivos basados en HiSilicon que ejecutan el software TVT-NVMS9000, porque el malware está diseñado para explotar una única vulnerabilidad en estos dispositivos. Esto limita la composición y el tamaño del botnet, aunque el botmaster puede estar añadiendo nuevas capacidades para hacer crecer la red.

El daño causado por los ataques de botnets se manifiesta de múltiples maneras: interrupciones del negocio, operaciones de robo de datos generalizadas, campañas de distribución de ransomware, e incluso actividades de cryptojacking donde se secuestran recursos informáticos para la minería de criptomonedas. Los efectos en cascada de estos ataques incluyen violaciones de datos, pérdidas financieras y daños a la reputación que pueden tardar años en superarse.

Los botnets, los botmasters y las capacidades siempre están cambiando. Al igual que las amenazas de ransomware, los botmasters y los actores de amenazas afiliados quieren expandir el alcance de sus ataques. Pueden especializarse en un tipo específico de delito, pero mejorarán sus operaciones para infectar más dispositivos y agregar redundancia a sus redes. No está claro cuántos botnets están activos en un momento dado, o cuántos emergen o se interrumpen cada año. La actividad de los botnets generalmente se mide por métricas de ataque en lugar de por el número y tamaño de los botnets. Sin embargo, un estudio reciente encontró que la actividad de los botnets se está volviendo más fuerte y destructiva. Algunos hallazgos clave:

  • El número total de ataques DDoS en 2024 aumentó un 53% en comparación con 2023.
  • El ataque DDoS más potente de 2024 alcanzó un pico de 1,14 Tbps, lo que supone un 65% más que el récord del año anterior de 0,69 Tbps.
  • La red de bots más grande que detectamos en 2024 consistió en 227,000 dispositivos (en comparación con la red de bots más grande en 2023, que incluía "solo" alrededor de 136,000 dispositivos). Este rápido crecimiento en el tamaño de la red de bots se atribuye al creciente número de dispositivos obsoletos en los países en desarrollo.

El estudio también encontró que los ataques multivector aumentaron un 8% en 2023, lo que significa que el ataque es lo suficientemente sofisticado como para atacar el mismo objetivo de múltiples maneras. Cubriremos los ataques multivector en una publicación futura.

Principales botnets de 2024

No podemos entrar en todas las botnets que han estado activas durante el último año, pero podemos profundizar en algunas de ellas. Estas son algunas de las más dominantes de 2024.

Botnet Phorpiex

Phorpiex ha estado activo durante más de una década, con la excepción de unos cinco meses en 2021 cuando el operador original cerró la red y vendió el código fuente.

Captura parcial de pantalla del foro que anuncia la venta de phorpiex

Captura parcial de pantalla del foro que anuncia la venta de phorpiex

Volvió a estar en línea en diciembre de ese año, aunque resurgió como una variante llamada 'Trik' o 'Twizt'. La nueva versión podía operar en modo peer-to-peer, lo que añadía resiliencia al eliminar la necesidad de servidores de comando y control (C2C). Phorpiex se utiliza principalmente para distribuir ransomware a través de campañas masivas de spam. También se ha asociado particularmente con campañas de sextorsión y el envío de cargas útiles de malware y ransomware. En abril de 2024, la Célula de Integración de Comunicaciones y Ciberseguridad de Nueva Jersey (NJCCIC) identificó una campaña de ransomware de marca LockBit entregada por el botnet Phorpiex. Este fue uno de los ataques más notables de Phorpiex en 2024.

Este malware ha pasado por varias iteraciones para mantenerse por delante de las medidas de seguridad. Las actualizaciones generalmente se centran en mejorar las capacidades de distribución de spam de la botnet y en aumentar su capacidad para entregar efectivamente otras cargas útiles de malware. Los operadores aprovecharon inteligentemente la fuerza laboral remota en el punto álgido de la pandemia explotando fallos en aplicaciones como Zoom. La información capturada a través de estos métodos se utilizó para perfeccionar su material de extorsión.

Phorpiex no es la botnet más sofisticada, pero su uso en la distribución de ransomware y campañas de phishing la ha convertido en una de las principales amenazas basadas en volumen de 2024.

Androxgh0st Botnet

Androxgh0st fue identificado por investigadores a finales de 2022, aunque puede haber estado activo antes. Los analistas encontraron similitudes de código con el malware del botnet Mozi y observaron que Androxgh0st desplegaba cargas útiles de Mozi contra dispositivos IoT. Este es un vínculo significativo entre los dos, lo que lleva a la teoría de que Androxgh0st fue una integración o evolución de Mozi. El botnet Mozi ‘desapareció’ en agosto de 2023, y no se sabe con certeza si Mozi fue desactivado o si se fusionó completamente con Androxgh0st. La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron un Aviso Conjunto de Ciberseguridad (CSA) en enero de 2024:

El malware Androxgh0st establece una botnet para la identificación y explotación de víctimas en redes vulnerables, y apunta a archivos que contienen información confidencial, como credenciales, para varias aplicaciones de alto perfil.

FBI y CISA emiten aviso conjunto de ciberseguridad sobre androxgh0st

FBI y CISA emiten aviso conjunto de ciberseguridad sobre androxgh0st

Los investigadores de seguridad sospechan “con baja confianza” que Androxgh0st es operado por actores de amenazas alineados con los intereses de la República Popular China (RPC) y representa una nueva generación de botnets híbridos que combinan capacidades de múltiples fuentes. El botnet apunta a sistemas Windows, Mac y Linux, y explota computadoras personales, servidores web y dispositivos IoT. Estas capacidades expanden el alcance del botnet a través de redes y el internet global. Muchos consideran a Androxgh0st una amenaza significativa para la infraestructura crítica y la seguridad nacional.

Lo que distingue a este botnet son sus amplias capacidades de explotación: apunta a vulnerabilidades en VPNs, cortafuegos, enrutadores y aplicaciones web, lo que le otorga una versatilidad excepcional para comprometer diferentes tipos de sistemas. Esta adaptabilidad lo hace particularmente difícil de defender. Androxgh0st es conocido por la diversidad de su cartera de ataques, incluidos ataques DDoS, operaciones de robo de datos y robo de credenciales centrado en la nube.

Botnet Gafgyt (Bashlite)

Gafgyt, originalmente llamado Bashlite, es una botnet que afecta a dispositivos IoT y sistemas basados en Linux. Se observó por primera vez alrededor de 2014 y se ha adaptado con éxito a los avances en ciberseguridad e inteligencia de amenazas. Existen varias variantes, incluidas algunas que han incorporado el código de la botnet Mirai para expandir las capacidades de comando y ataque. Las botnets basadas en Gafgyt son capaces de realizar ataques de fuerza bruta y DDoS, robo de credenciales y criptominería potenciada por GPU. Gafgyt también eliminará cualquier malware competidor que ya se encuentre en el sistema.

 

Flujo de ataque visual de la variante de malware de botnet Gafgyt

Flujo de ataque visual de la variante de malware de botnet Gafgyt

En 2024, Gafgyt comenzó a apuntar a entornos nativos de la nube, lo que le permitió realizar operaciones más intensivas en CPU. Ha sido particularmente efectivo al infectar routers inalámbricos de fabricantes como TP-Link y Zyxel. Actualmente se opera como un botnet como servicio (BaaS) y está vinculado a un actor de amenazas llamado Keksec, también conocido como FreakOut.

Gafgyt explota contraseñas débiles y vulnerabilidades conocidas en dispositivos IoT y entornos de nube. Actualmente parece tener un doble enfoque de generar ingresos a través de la criptominería mientras mantiene la capacidad de lanzar ataques DDoS poderosos y multivectoriales. Esto lo hace atractivo para los delincuentes que buscan múltiples fuentes de ingresos a través de una única operación *-como-servicio.

Mirai Botnet

Mirai tiene una historia interesante. Fue creado en 2016 por Paras Jha, Josiah White y Dalton Norman. Jha y sus asociados diseñaron Mirai para lanzar ataques DDoS contra servidores rivales y luego ofrecían servicios de protección a esos servidores a través de su empresa, ProTraf Solutions. Brian Krebs fue fundamental en la investigación que llevó a los creadores del bot Mirai ante la justicia. Puedes encontrar la cobertura de Krebs aquí y más información de fondo aquí.

 

Filtración del código fuente de Mirai en Hackforums, a través de KrebsOnSecurity

filtración del código fuente de mirai en Hackforums, a través de KrebsOnSecurity

La filtración del código fuente de Mirai fue un momento decisivo en la ciberseguridad. Considera los impactos inmediatos y a largo plazo:

  • Las barreras para lanzar una botnet se redujeron, porque cualquiera con habilidades técnicas básicas podía utilizar el código de Mirai como punto de partida. Esto llevó a un aumento en los ataques DDoS y a una proliferación de botnets híbridos que incorporaron capacidades de Mirai. El ataque de 2016 a Dyn utilizó una variante de Mirai.
  • Mirai expuso los riesgos de usar credenciales y configuraciones predeterminadas en dispositivos IoT. Antes de Mirai y la proliferación de botnets, los riesgos para los dispositivos IoT eran solo teóricos. La industria aceleró los estándares de seguridad de IoT después de la filtración.
  • El código filtrado se convirtió en un acelerador para nuevas amenazas. Al comenzar con un malware de botnet funcional, los actores de amenazas podían centrarse en desarrollar nuevas capacidades como la minería de criptomonedas y ataques DDoS multivector.

Mirai se especializa en ataques DDoS poderosos lanzados por dispositivos IoT. Varios proveedores han descubierto que alrededor del 72% del nuevo malware de IoT contiene código de Mirai. Esto podría atribuirse a la lógica de fuerza bruta original y los protocolos de comando y control, que generalmente se clonan en nuevas variantes.

Un paisaje fluido

La amenaza mundial de botnets está en constante cambio. Cuando un botnet es neutralizado mediante acciones legales o medidas de seguridad, rápidamente surgen nuevas variantes o botnets completamente nuevos para llenar el vacío. Esta evolución constante presenta desafíos significativos para los defensores que necesitan proteger los activos de amenazas desconocidas actuales y futuras. Sin embargo, podemos identificar varias tendencias clave en el panorama de los botnets:

  • Aumento de la especialización, con algunos botnets centrados en tipos de ataques o objetivos específicos.
  • Mayor sofisticación en las técnicas de evasión, lo que hace más difícil la detección y atribución.
  • La comercialización de las capacidades de botnet mediante modelos de "Botnet-as-a-Service".
  • La convergencia de capacidades de botnets, como múltiples vectores de ataque o flujos de ingresos de un solo botnet.
  • Posicionamiento estratégico de los recursos de botnet en jurisdicciones con cooperación internacional limitada en la aplicación de la ciberdelincuencia.

La protección eficaz contra las botnets proviene de combinar soluciones tecnológicas con la concienciación humana y la preparación organizativa. Al mantenerse informados sobre las amenazas emergentes e implementar medidas de seguridad integrales, las organizaciones y los individuos pueden reducir significativamente su vulnerabilidad a estas poderosas y persistentes amenazas de ciberseguridad.

Mitigación y Protección contra Bots

Protegerse contra las amenazas de botnets requiere un enfoque multicapa que aborde tanto la prevención de infecciones como la mitigación de ataques. Barracuda Advanced Bot Protection es la herramienta definitiva para combatir ataques de botnet multivectoriales. Al proporcionar mecanismos de defensa proactiva, una visibilidad mejorada y controles personalizables, capacita a las empresas para proteger sus compañías y mantener su ventaja competitiva en un mundo cada vez más automatizado. 

 

 

 

Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
¿Cómo lavan los ciberdelincuentes las criptomonedas?
¿Cómo lavan los ciberdelincuentes las criptomonedas?
 Cl0p ransomware: El invasor sucio que muerde mientras duermes
Cl0p ransomware: El invasor sucio que muerde mientras duermes
 Asegure su acceso seguro a Internet para el futuro con la nueva generación de dispositivos de seguridad web
Asegure su acceso seguro a Internet para el futuro con la nueva generación de dispositivos de seguridad web
Un informe de la ONU arroja luz sobre las redes mundiales de estafas en línea
Un informe de la ONU arroja luz sobre las redes mundiales de estafas en línea
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.