Gigantic PinkBot descubierto en la naturaleza

En noviembre 21, 2021 investigadores de 360NetLab obtuvieron una muestra de la botnet más grande observada. Recibió el nombre de Rosa debido a sus funciones que comienzan con la palabra rosa.. Durante la hora pico, PinkBot tenía control sobre 1.6 millones de dispositivos con la mayoría de ellos (96%) ubicado en China. Al tener una arquitectura muy robusta, se dirige principalmente a enrutadores de fibra basados ​​en mips. Botnet utiliza una combinación de servicios de terceros, P2P y C2 centrales para que sus bots controlen las comunicaciones. Con una verificación absoluta de las comunicaciones C2, asegura que los asentimientos de Botnet no se desconectarán o controlarán fácilmente..

La botnet más grande podría hacerse con el control de más 1.6 millones de dispositivos

El 30 de noviembre, 2019 socio de seguridad no identificado informó al 360Netlab que ellos detectaron 1,962,308 IP activas diarias únicas de esta botnet que los golpean. Researchers’ own observance showed the number of 1.65 millón. La mayor concentración tuvo lugar en China (96%) extendiéndose a través 33 provincias. Los operadores afectados incluyen China Telecom (>15%) y China Unicom (>80%).

A partir de los datos calculados en numerosas dimensiones, como los datos de NetFlow, sondeo activo, y monitoreo en tiempo real, el número de direcciones IP de nodos de Bot conectados con esta botnet supera 5 millón. Dado que las direcciones IP de banda ancha doméstica se asignan dinámicamente, el tamaño correcto de los dispositivos infectados detrás de ellos no se puede calcular con precisión, y se supone que la cantidad real de dispositivos infectados es de millones.

“One of the main bases of the measurement is that the number of IPs connected to C2 in one minute was well over one million,” according to a report by National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT / CC).

El PinkBot rastrea en Github

Los investigadores rastrearon el PinkBot hasta octubre 16, 2018. En ese momento sus creadores tenían una cuenta pink78day en Github. Ahora el atacante cerró la cuenta.. Actualmente mypolo111 creado a finales de noviembre 2019 existe en Github. El hacker puede en un instante cambiar una cuenta simplemente agregando un nuevo registro de transacción a su billetera BTC. Así que no puedes simplemente bloquear la cuenta.. Debe bloquear la billetera BTC especificada para interrumpir el PinkBot. El atacante también usó un sitio web chino para distribuir la Botnet con una lógica similar al proyecto Github..

Una botnet (abreviatura de "red de robots") significa una red de computadoras infectadas con malware de la que una sola parte puede obtener el control de forma remota. Cada máquina individual en el control se conoce con el nombre de bot. Un atacante puede ordenar a los bots que realicen diversas acciones delictivas.. Normalmente incluye Ataques DDoS, intrusiones dirigidas, correo no deseado y violación financiera. Además, los piratas informáticos pueden alquilar el acceso a secciones de su botnet en el mercado negro..