Barracuda full logo

Principales amenazas del panorama de botnets de 2024

Temas:
21 mar. 2025
|
Christine Barry

Nuestro último post sobre botnets exploró la terminología, arquitecturas y capacidades de estas versátiles herramientas de ataque. Este post analizará más de cerca los botnets más dominantes del último año. 

El botnet más grande conocido fue el botnet 911 S5 que fue desmantelado en 2024. En su apogeo tenía alrededor de 19 millones de bots activos operando en 190 países. El 911 S5 se propagó a través de aplicaciones VPN infectadas, como MaskVPN, DewVPN, ShieldVPN, y algunas más. Un botnet puede incluir computadoras personales, servidores empresariales, dispositivos móviles y dispositivos de Internet de las cosas (IoT) como termostatos inteligentes, cámaras y enrutadores. La composición del botnet depende del malware. Por ejemplo, el nuevo botnet Eleven11bot solo utiliza dispositivos basados en HiSilicon que ejecutan el software TVT-NVMS9000, porque el malware está diseñado para explotar una única vulnerabilidad en estos dispositivos. Esto limita la composición y el tamaño del botnet, aunque el botmaster puede estar agregando nuevas capacidades para hacer crecer la red. 

El daño de los ataques de botnets se manifiesta de múltiples maneras: interrupciones empresariales, operaciones de robo de datos generalizadas, campañas de distribución de ransomware e incluso actividades de cryptojacking donde los recursos informáticos son secuestrados para la minería de criptomonedas. Los efectos en cascada de estos ataques incluyen violaciones de datos, pérdidas financieras y daños reputacionales que pueden tardar años en superarse.

Los botnets, los botmasters y las capacidades están siempre cambiando. Al igual que las amenazas de ransomware, los botmasters y los actores de amenazas afiliados quieren expandir el alcance de sus ataques. Pueden especializarse en un tipo específico de crimen, pero mejorarán sus operaciones para infectar más dispositivos y agregar redundancia a sus redes. No está claro cuántos botnets están activos en un momento dado, o cuántos emergen o son interrumpidos cada año. La actividad de botnets generalmente se mide por métricas de ataque en lugar del número y tamaño de los botnets. Sin embargo, un estudio reciente encontró que la actividad de botnets se está volviendo más fuerte y destructiva. Algunos hallazgos clave:

  • El número total de ataques DDoS en 2024 aumentó un 53% en comparación con 2023.
  • El ataque DDoS más poderoso de 2024 alcanzó un pico de 1.14 Tbps, que es un 65% más alto que el récord del año anterior de 0.69 Tbps.
  • El botnet más grande que detectamos en 2024 consistía en 227,000 dispositivos (en comparación con el botnet más grande en 2023, que incluía "solo" alrededor de 136,000 dispositivos). Este rápido crecimiento en el tamaño del botnet se atribuye al creciente número de dispositivos obsoletos en países en desarrollo.

El estudio también encontró que los ataques multivector aumentaron un 8% con respecto a 2023, lo que significa que el ataque es lo suficientemente sofisticado como para atacar al mismo objetivo de múltiples maneras. Cubriremos los ataques multivector en un futuro post.

Principales botnets de 2024

No podemos entrar en todos los botnets que han estado activos durante el último año, pero podemos profundizar en algunos de ellos. Estos son algunos de los más dominantes de 2024.

Botnet Phorpiex

Phorpiex ha estado activo durante más de una década, con la excepción de unos cinco meses en 2021 cuando el operador original cerró la red y vendió el código fuente

Partial screenshot of forum post advertising sale of phorpiex

Partial screenshot of forum post advertising sale of phorpiex

Estaba de nuevo en línea para diciembre de ese año, aunque resurgió como una variante llamada 'Trik' o 'Twizt'. La nueva versión podía operar en modo peer-to-peer, lo que añadía resiliencia al eliminar la necesidad de servidores de comando y control (C2C). Phorpiex se utiliza principalmente para distribuir ransomware a través de campañas masivas de spam. También se ha asociado particularmente con campañas de sextorsión y la entrega de cargas útiles de malware y ransomware. En abril de 2024, la Célula de Integración de Ciberseguridad y Comunicaciones de Nueva Jersey (NJCCIC) identificó una campaña de ransomware con la marca LockBit entregada por el botnet Phorpiex. Este fue uno de los ataques más notables de Phorpiex en 2024.

Este malware ha pasado por varias iteraciones para adelantarse a las medidas de seguridad. Las actualizaciones generalmente se centran en mejorar las capacidades de distribución de spam del botnet y mejorar su capacidad para entregar otras cargas útiles de malware de manera efectiva. Los operadores aprovecharon inteligentemente la fuerza laboral remota en el apogeo de la pandemia explotando fallos en aplicaciones como Zoom. La información capturada a través de estos métodos se utilizó para afinar su material de extorsión.

Phorpiex no es el botnet más sofisticado, pero su uso en la distribución de ransomware y campañas de phishing lo ha convertido en una de las principales amenazas basadas en volumen de 2024.

Botnet Androxgh0st

Androxgh0st fue identificado por investigadores a finales de 2022, aunque puede haber estado activo antes. Los analistas encontraron similitudes de código con el malware del botnet Mozi, y observaron a Androxgh0st desplegando cargas útiles de Mozi contra dispositivos IoT. Este es un vínculo significativo entre los dos, lo que lleva a la teoría de que Androxgh0st fue una integración o evolución de Mozi. El botnet Mozi 'desapareció' en agosto de 2023, y no se sabe con certeza si Mozi fue cerrado o si se fusionó completamente con Androxgh0st. La Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitieron un Aviso Conjunto de Ciberseguridad (CSA) en enero de 2024:

El malware Androxgh0st establece un botnet para la explotación de víctimas en redes vulnerables, y apunta a archivos que contienen información confidencial, como credenciales, para varias aplicaciones de alto perfil.

FBI and CISA issue joint cybersecurity advisory on androxgh0st

FBI and CISA issue joint cybersecurity advisory on androxgh0st

Los investigadores de seguridad sospechan "con baja confianza" que Androxgh0st es operado por actores de amenazas alineados con los intereses de la República Popular China (RPC) y representa una nueva generación de botnets híbridos que combinan capacidades de múltiples fuentes. El botnet apunta a sistemas Windows, Mac y Linux, y explota computadoras personales, servidores web y dispositivos IoT. Estas capacidades expanden el alcance del botnet a través de redes e internet global. Muchos consideran a Androxgh0st una amenaza significativa para la infraestructura crítica y la seguridad nacional.

Lo que distingue a este botnet es su amplia capacidad de explotación: apunta a vulnerabilidades en VPNs, firewalls, enrutadores y aplicaciones web, lo que le da una versatilidad excepcional para comprometer diferentes tipos de sistemas. Esta adaptabilidad lo hace particularmente desafiante de defender. Androxgh0st es conocido por la diversidad de su cartera de ataques, incluidos ataques DDoS, operaciones de robo de datos y robo de credenciales enfocado en la nube.

Botnet Gafgyt (Bashlite)

Gafgyt, originalmente llamado Bashlite, es un botnet que afecta a dispositivos IoT y sistemas basados en Linux. Se observó por primera vez alrededor de 2014 y ha logrado adaptarse a los avances en ciberseguridad e inteligencia de amenazas. Existen varias variantes, incluidas algunas que han incorporado código del botnet Mirai para expandir las capacidades de comando y ataque. Los botnets basados en Gafgyt son capaces de realizar ataques de fuerza bruta y DDoS, robo de credenciales y minería de criptomonedas potenciada por GPU. Gafgyt también eliminará cualquier malware competidor ya encontrado en el sistema.

 

Visual attack flow of Gafgyt botnet malware variant

Visual attack flow of Gafgyt botnet malware variant

En 2024, Gafgyt comenzó a apuntar a entornos nativos de la nube, lo que le permitió realizar operaciones más intensivas en CPU. Ha sido particularmente efectivo en infectar enrutadores inalámbricos de fabricantes como TP-Link y Zyxel. Actualmente opera como un botnet como servicio (BaaS) y está vinculado a un actor de amenazas llamado Keksec, también conocido como FreakOut.

Gafgyt explota contraseñas débiles y vulnerabilidades conocidas en dispositivos IoT y entornos en la nube. Actualmente parece tener un doble enfoque de generar ingresos a través de la minería de criptomonedas mientras mantiene la capacidad de lanzar poderosos ataques DDoS multivector. Esto lo hace atractivo para los criminales que buscan múltiples flujos de ingresos a través de una sola operación *-como-servicio.

Botnet Mirai

Mirai tiene una historia interesante. Fue creado en 2016 por Paras Jha, Josiah White y Dalton Norman. Jha y sus asociados diseñaron Mirai para lanzar ataques DDoS contra servidores rivales, y luego ofrecieron servicios de protección a esos servidores a través de su empresa, ProTraf Solutions. Brian Krebs fue fundamental en la investigación que llevó a los botmasters de Mirai ante la justicia. Puedes encontrar la cobertura de Krebs aquí y más información de fondo aquí.

 

Mirai source code leak on Hackforums, via KrebsOnSecurity

mirai source code leak on Hackforums, via KrebsOnSecurity

La filtración del código fuente de Mirai fue un momento decisivo en la ciberseguridad. Considera los impactos inmediatos y a largo plazo:

  • Las barreras para lanzar un botnet se redujeron, porque cualquiera con habilidades técnicas básicas podía usar el código de Mirai como punto de partida. Esto llevó a un aumento en los ataques DDoS y a una proliferación de botnets híbridos que incorporaron capacidades de Mirai. El ataque de 2016 a Dyn utilizó una variante de Mirai.
  • Mirai expuso los riesgos de usar credenciales y configuraciones predeterminadas en dispositivos IoT. Antes de Mirai y la proliferación de botnets, los riesgos para los dispositivos IoT eran solo teóricos. La industria aceleró los estándares de seguridad de IoT después de la filtración.
  • El código filtrado se convirtió en un acelerador para nuevas amenazas. Al comenzar con un malware de botnet funcional, los actores de amenazas podían centrarse en desarrollar nuevas capacidades como la minería de criptomonedas y ataques DDoS multivector.

Mirai se especializa en poderosos ataques DDoS lanzados por dispositivos IoT. Varios proveedores han encontrado que alrededor del 72% del nuevo malware IoT contiene código de Mirai. Esto podría atribuirse a la lógica de fuerza bruta original y los protocolos de comando y control, que generalmente se clonan en nuevas variantes.

Un panorama fluido

La amenaza mundial de botnets está siempre cambiando. Cuando un botnet es neutralizado mediante acciones de aplicación de la ley o medidas de seguridad, nuevas variantes o botnets completamente nuevos emergen rápidamente para llenar el vacío. Esta evolución constante presenta desafíos significativos para los defensores que necesitan asegurar activos de amenazas actuales y futuras desconocidas. Sin embargo, podemos identificar varias tendencias clave en el panorama de botnets:

  • Especialización creciente, con algunos botnets centrados en tipos de ataques o objetivos específicos.
  • Mayor sofisticación en técnicas de evasión, lo que dificulta la detección y atribución.
  • La comercialización de capacidades de botnet a través de modelos de "Botnet como Servicio".
  • La convergencia de capacidades de botnet, como múltiples vectores de ataque o flujos de ingresos de un solo botnet.
  • Posicionamiento estratégico de recursos de botnet en jurisdicciones con cooperación internacional limitada en la aplicación de la ley contra el cibercrimen.

La protección efectiva contra botnets proviene de combinar soluciones tecnológicas con conciencia humana y preparación organizacional. Al mantenerse informado sobre amenazas emergentes e implementar medidas de seguridad integrales, las organizaciones y los individuos pueden reducir significativamente su vulnerabilidad a estas poderosas y persistentes amenazas de ciberseguridad.

Mitigación y Protección contra Botnets

Protegerse contra las amenazas de botnets requiere un enfoque de múltiples capas que aborde tanto la prevención de infecciones como la mitigación de ataques. Barracuda Advanced Bot Protection es la herramienta definitiva para combatir ataques de botnets multivector. Al proporcionar mecanismos de defensa proactivos, visibilidad mejorada y controles personalizables, empodera a las empresas para proteger sus compañías y mantener su ventaja competitiva en un mundo cada vez más automatizado. 

Christine Barry

Christine Barry Senior Chief Cybersecurity Storyteller and Content Manager at Barracuda.  Prior to joining Barracuda, Christine was a field engineer and project manager for K12 and SMB clients for over 15 years.  She holds several technology and project management credentials, a Bachelor of Arts, and a Master of Business Administration. She is a graduate of the University of Michigan.

Connect with Christine on LinkedIn here.

 

Join our Reddit community!

Publicaciones relacionadas:
CVE controversy creates opportunity to improve
CVE controversy creates opportunity to improve
 Navigating the API release cycle
Navigating the API release cycle
 CVE program's funding crisis: Implications and strategic response
CVE program's funding crisis: Implications and strategic response
 Swatting attacks explained: What you need to know
Swatting attacks explained: What you need to know
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.