Novo Botnet Gorilla lança mais de 300.000 ataques DDoS em 100 países

Pesquisadores de segurança cibernética descobriram uma nova família de malware botnet chamada Gorilla (também conhecida como GorillaBot), que se inspira no código-fonte vazado do botnet Mirai .

Gorilla Botnet

A empresa de segurança cibernética NSFOCUS, que identificou a atividade no mês passado, disse que a botnet “emitiu mais de 300.000 comandos de ataque, com uma densidade de ataque chocante” entre 4 e 27 de setembro de 2024. Nada menos que 20.000 comandos projetados para montar ataques distribuídos de negação de serviço (DDoS) foram emitidos pela botnet todos os dias, em média.

Dizem que o botnet teve como alvo mais de 100 países, atacando universidades, sites governamentais, telecomunicações, bancos, jogos e setores de apostas. China, EUA, Canadá e Alemanha surgiram como os países mais atacados.

A empresa sediada em Pequim disse que a Gorilla usa principalmente UDP flood , ACK BYPASS flood, Valve Source Engine (VSE) flood , SYN flood e ACK flood para conduzir ataques DDoS, acrescentando que a natureza sem conexão do protocolo UDP permite falsificação arbitrária de IP de origem para gerar uma grande quantidade de tráfego.

Além de oferecer suporte a diversas arquiteturas de CPU, como ARM, MIPS, x86_64 e x86, a botnet vem com recursos para se conectar a um dos cinco servidores de comando e controle (C2) predefinidos para aguardar comandos DDoS.

Em uma reviravolta interessante, o malware também incorpora funções para explorar uma falha de segurança no Apache Hadoop YARN RPC para obter execução remota de código. Vale a pena notar que a deficiência foi abusada na natureza já em 2021, de acordo com a Alibaba Cloud e a Trend Micro .

A persistência no host é obtida criando um arquivo de serviço chamado custom.service no diretório “/etc/systemd/system/” e configurando-o para ser executado automaticamente sempre que o sistema for inicializado.

O serviço, por sua vez, é responsável por baixar e executar um script de shell (“lol.sh”) de um servidor remoto (“pen.gorillafirewall[.]su”). Comandos semelhantes também são adicionados aos arquivos “/etc/inittab”, “/etc/profile” e “/boot/bootcmd” para baixar e executar o script de shell na inicialização do sistema ou no login do usuário.

“Ele introduziu vários métodos de ataque DDoS e usou algoritmos de criptografia comumente empregados pelo grupo Keksec para ocultar informações importantes, ao mesmo tempo em que empregava diversas técnicas para manter controle de longo prazo sobre dispositivos de IoT e hosts de nuvem, demonstrando um alto nível de conscientização sobre contradetecção como uma família de botnet emergente”, disse a NSFOCUS.

Atualizar

Um pesquisador de segurança conhecido pelo pseudônimo online Fox_threatintel, em uma publicação compartilhada no X, disse que o malware botnet não é totalmente novo e que está ativo há mais de um ano.