Researchers from the cybersecurity company Avira
Protection Lab have discovered an enhanced variant of the Mirai botnet, the
which is already infecting some IoT devices despite still being
in a testing environment.
According to the researchers who discovered this new
variant, Katana, they have found that this new botnet has the capability of
distributed denial of service at the layer 7, fast automatic replication
and a secure connection to its C&C (command and control), located
in Tettang, Germany.
Avira researchers, after discovering a wave of
unknown malware binaries in their honeypots, conducted an investigation
y fue cuando se dieron cuenta de que había una nueva botnet realizando ataques,
esta botnet es Katana. Esta nueva botnet se aprovecha de unas vulnerabilidades
de seguridad en los enrutadores Linksys y GPON más antiguos para ejecutar código
remoto. En el análisis realizado por los expertos de Avira se encontró que esta
botnent enlaza los puertos 53168, 57913, 59690, 62471 and 63749.
Según han informado desde Avira, Katana está actualmente infectando
cada día cientos de dispositivos IoT. Los dispositivos principales a los cuales
dirige estos ataques la botnet son el commutador PowerConnect 6224 de Dell, el router
DSL-7740C de D-Link y la puerta de enlace inalámbrica DOCSIS 3.1.