Mirai (software malicioso)

Malware para Linux utilizado en ataques DDoS

Mirai (de la palabra japonesa para "futuro", 未来) es un malware que convierte dispositivos en red que ejecutan Linux en bots controlados de forma remota que pueden usarse como parte de una botnet en ataques de red a gran escala. Se dirige principalmente a dispositivos de consumo en línea, como cámaras IP y enrutadores domésticos . ^[1] La botnet Mirai fue descubierta por primera vez en agosto de 2016 ^[2] por MalwareMustDie , ^[3] un grupo de investigación de malware de sombrero blanco , y se ha utilizado en algunos de los ataques distribuidos de denegación de servicio (DDoS) más grandes y disruptivos , incluido un ataque el 20 de septiembre de 2016 ^[4] al sitio web del periodista de seguridad informática Brian Krebs , un ataque al servidor web francés OVH , ^[5] y los ataques DDoS de octubre de 2016 a Dyn . ^{[6] [7]} Según un registro de chat entre Anna-senpai (el autor original del malware) y Robert Coelho, Mirai recibió su nombre de la serie de anime de televisión de 2011 Mirai Nikki . ^[8]

El software fue utilizado inicialmente por los creadores para realizar ataques DDoS a servidores de Minecraft y a empresas que ofrecen protección DDoS a servidores de Minecraft , y los autores utilizaron Mirai para operar una red de protección . ^[9] El código fuente de Mirai se publicó posteriormente en Hack Forums como código abierto . ^[10] Desde que se publicó el código fuente, las técnicas se han adaptado en otros proyectos de malware. ^{[11] [12]}

Software malicioso

Los dispositivos infectados por Mirai escanean continuamente Internet en busca de la dirección IP de los dispositivos de Internet de las cosas (IoT). Mirai incluye una tabla de rangos de direcciones IP que no infectará, incluidas redes privadas y direcciones asignadas al Servicio Postal de los Estados Unidos y al Departamento de Defensa . ^[13]

Mirai luego identifica dispositivos IoT vulnerables usando una tabla de más de 60 nombres de usuario y contraseñas predeterminados de fábrica comunes, e inicia sesión en ellos para infectarlos. ^{[5] [14] [15]} Los dispositivos infectados seguirán funcionando normalmente, excepto por lentitud ocasional, ^[14] y un mayor uso del ancho de banda . Un dispositivo permanece infectado hasta que se reinicia , lo que puede implicar simplemente apagar el dispositivo y después de una breve espera volver a encenderlo. Después de un reinicio, a menos que la contraseña de inicio de sesión se cambie inmediatamente, el dispositivo se volverá a infectar en minutos. ^[14] Tras la infección, Mirai identificará cualquier malware "competidor", lo eliminará de la memoria y bloqueará los puertos de administración remota. ^[16]

Los dispositivos IoT víctimas se identifican al “entrar primero en una fase de escaneo rápido donde envían de forma asincrónica y “sin estado” sondas TCP SYN a direcciones IPv4 pseudoaleatorias, excluyendo aquellas en una lista negra de IP codificadas, en los puertos TCP telnet 23 y 2323”. ^[17] Si un dispositivo IoT responde a la sonda, el ataque entra entonces en una fase de inicio de sesión por fuerza bruta. Durante esta fase, el atacante intenta establecer una conexión telnet utilizando pares de nombre de usuario y contraseña predeterminados de una lista de credenciales. La mayoría de estos inicios de sesión son nombres de usuario y contraseñas predeterminados del proveedor de IoT. Si el dispositivo IoT permite el acceso Telnet, la IP de la víctima, junto con la credencial utilizada con éxito, se envía a un servidor de recopilación.

Hay una gran cantidad de dispositivos IoT que utilizan configuraciones predeterminadas, lo que los hace vulnerables a infecciones. Una vez infectado, el dispositivo monitoreará un servidor de comando y control que indica el objetivo de un ataque. ^[14] La razón para el uso de la gran cantidad de dispositivos IoT es evitar algún software anti-DoS que monitorea la dirección IP de las solicitudes entrantes y filtra o establece un bloqueo si identifica un patrón de tráfico anormal, por ejemplo, si demasiadas solicitudes provienen de una dirección IP en particular. Otras razones incluyen poder reunir más ancho de banda del que el perpetrador puede reunir solo y evitar ser rastreado.

Mirai como amenaza para los dispositivos de Internet de las cosas (IoT) no se ha detenido después del arresto de los actores. ^{[ cita requerida ]} Algunos ^{[ ¿ quiénes? ]} creen que otros actores están utilizando el código fuente en GitHub para desarrollar Mirai en nuevas variantes . Ellos ^{[ ¿ quiénes? ]} especulan que el objetivo es expandir su nodo de botnet a muchos más dispositivos de IoT. El detalle del progreso reciente de estas variantes se enumera en los siguientes párrafos.

Variantes

El 12 de diciembre de 2017, los investigadores identificaron una variante de Mirai que explotaba una falla de día cero en los enrutadores Huawei HG532 para acelerar la infección de botnets Mirai , ^[18] implementando dos exploits relacionados con SOAP conocidos en la interfaz web de los enrutadores, CVE-2014–8361 y CVE-2017–17215. Esta versión de Mirai se llama "Satori".

El 14 de enero de 2018, una nueva variante de Mirai denominada "Okiru", la palabra japonesa para "levantarse", que ya apuntaba a procesadores integrados populares como ARM, MIPS, x86, PowerPC ^[19] y otros, se encontró apuntando a dispositivos Linux basados ​​en procesadores ARC ^[20] por primera vez. El procesador Argonaut RISC Core (abreviado: procesadores ARC ) es el segundo procesador integrado de 32 bits más popular, enviado en más de 1.5 mil millones de productos por año, incluidos computadoras de escritorio, servidores, radio, cámaras, dispositivos móviles, medidores de servicios públicos, televisores, unidades flash, automóviles, dispositivos de red (concentradores inteligentes, módems de TV, enrutadores, wifi) e Internet de las cosas. Solo una cantidad relativamente pequeña de dispositivos basados ​​en ARC ejecutan Linux y, por lo tanto, están expuestos a Mirai.

El 18 de enero de 2018, se informó que un sucesor de Mirai fue diseñado para secuestrar operaciones de minería de criptomonedas . ^[21]

El 26 de enero de 2018, se informó de dos botnets de la variante Mirai similares, la versión más modificada de la cual utiliza el exploit del enrutador D-Link EDB 38722 para reclutar más dispositivos IoT vulnerables. La vulnerabilidad en el Protocolo de administración de red doméstica (HNAP) del enrutador se utiliza para crear una consulta maliciosa a los enrutadores explotados que pueden eludir la autenticación, para luego provocar una ejecución remota de código arbitrario. La versión menos modificada de Mirai se llama "Masuta" (por la transliteración japonesa de "Master"), mientras que la versión más modificada se llama "PureMasuta". ^[22]

En marzo de 2018, apareció una nueva variante de Mirai, denominada "OMG", con configuraciones adicionales para atacar dispositivos IoT vulnerables y convertirlos en servidores proxy. Se agregaron nuevas reglas de firewall que permiten que el tráfico viaje a través de los puertos HTTP y SOCKS generados. Una vez que estos puertos están abiertos al tráfico, OMG configura 3proxy, un software de código abierto disponible en un sitio web ruso . ^[23]

Entre mayo y junio de 2018, surgió otra variante de Mirai, denominada "Wicked", con configuraciones adicionales para atacar al menos tres exploits adicionales, incluidos los que afectan a los enrutadores Netgear y los CCTV-DVR. Wicked escanea los puertos 8080, 8443, 80 y 81 e intenta localizar dispositivos IoT vulnerables y sin parches que se ejecutan en esos puertos. Los investigadores sospechan que el mismo autor creó las redes de bots Wicked, Sora, Owari y Omni. ^{[24] [25]}

A principios de julio de 2018, se informó que se habían detectado al menos trece versiones del malware Mirai que infectaban activamente el Internet de las cosas (IoT) de Linux en Internet, y tres de ellas fueron diseñadas para atacar vulnerabilidades específicas mediante el uso de pruebas de concepto de explotación, sin lanzar un ataque de fuerza bruta a la autenticación de credenciales predeterminada. ^[26] En el mismo mes, se publicó un informe de una campaña de infección del malware Mirai en dispositivos Android a través del Android Debug Bridge en TCP/5555, una característica opcional en el sistema operativo Android, aunque se descubrió que esta característica parece estar habilitada en algunos teléfonos Android. ^[27]

A finales de 2018, una variante de Mirai denominada "Miori" comenzó a propagarse a través de una vulnerabilidad de ejecución de código remoto en el marco ThinkPHP, que afectó a las versiones 5.0.23 a 5.1.31. Esta vulnerabilidad está siendo continuamente abusada por las variantes de Mirai más evolucionadas denominadas "Hakai" y "Yowai" en enero de 2019, y la variante "SpeakUp" en febrero de 2019. ^[28]

Uso en ataques DDoS

Mirai se utilizó, junto con BASHLITE , ^[29] en el ataque DDoS del 20 de septiembre de 2016 al sitio Krebs on Security que alcanzó los 620 Gbit/s. ^[30] Ars Technica también informó de un ataque de 1 Tbit/s al servidor web francés OVH . ^[5]

El 21 de octubre de 2016, se produjeron varios ataques DDoS importantes en los servicios DNS del proveedor de servicios DNS Dyn utilizando malware Mirai instalado en una gran cantidad de dispositivos IoT , muchos de los cuales todavía usaban sus nombres de usuario y contraseñas predeterminados. ^[31] Estos ataques resultaron en la inaccesibilidad de varios sitios web de alto perfil, incluidos GitHub , Twitter , Reddit , Netflix , Airbnb y muchos otros. ^[32] La atribución del ataque Dyn a la botnet Mirai fue informada originalmente por Level 3 Communications. ^{[29] [33]}

Más tarde se reveló que Mirai se había utilizado durante los ataques DDoS contra la Universidad Rutgers de 2014 a 2016, que dejaron a los profesores y estudiantes del campus sin poder acceder a Internet exterior durante varios días seguidos. Además, una falla del Servicio de autenticación central de la universidad provocó que el registro de cursos y otros servicios no estuvieran disponibles durante momentos críticos del semestre académico. Según se informa, la universidad gastó $300,000 en consultas y aumentó el presupuesto de ciberseguridad de la universidad en $1 millón en respuesta a estos ataques. La universidad citó los ataques entre sus razones para el aumento de la matrícula y las tarifas para el año escolar 2015-2016. ^[34] Una persona bajo el alias "exfocus" se atribuyó la responsabilidad de los ataques, declarando en un AMA de Reddit en el subreddit /r/Rutgers que el usuario era un estudiante de la escuela y que los ataques DDoS estaban motivados por frustraciones con el sistema de autobuses de la universidad . El mismo usuario afirmó más tarde en una entrevista con un bloguero de Nueva Jersey que había mentido sobre su afiliación a la universidad y que los ataques estaban siendo financiados por un cliente anónimo. El investigador de seguridad Brian Krebs afirmó más tarde que el usuario era en realidad un estudiante de la Universidad Rutgers y que la última entrevista se dio en un intento de distraer a los investigadores. ^[8]

El personal de Deep Learning Security observó el crecimiento constante de las botnets Mirai antes y después del ataque del 21 de octubre. ^[35]

Mirai también se utilizó en un ataque a la infraestructura de Internet de Liberia en noviembre de 2016. ^{[36] [37] [38]} Según el experto en seguridad informática Kevin Beaumont, el ataque parece haberse originado en el actor que también atacó a Dyn. ^[36]

Sus ataques DDoS también fueron notables en Brasil, Taiwán, Costa Rica e India. ^[39]

Otros incidentes notables

A finales de noviembre de 2016, aproximadamente 900.000 enrutadores , de Deutsche Telekom y producidos por Arcadyan, se bloquearon debido a intentos fallidos de explotación de TR-064 por una variante de Mirai, lo que resultó en problemas de conectividad a Internet para los usuarios de estos dispositivos. ^{[40] [41]} Si bien TalkTalk luego parchó sus enrutadores, se descubrió una nueva variante de Mirai en los enrutadores TalkTalk. ^[42]

Un hombre británico sospechoso de estar detrás del ataque fue arrestado en el aeropuerto de Luton, según la BBC . ^[43]

Identidad del autor

El 17 de enero de 2017, el periodista de seguridad informática Brian Krebs publicó un artículo en su blog, Krebs on Security, donde reveló el nombre de la persona que creía que había escrito el malware. Krebs afirmó que la probable identidad en la vida real de Anna-senpai (nombrada en honor a Anna Nishikinomiya, un personaje de Shimoneta ), la autora de Mirai, era en realidad un indio-estadounidense Paras Jha, propietario de una empresa de servicios de mitigación de DDoS ProTraf Solutions y estudiante de la Universidad de Rutgers . En una actualización del artículo original, Paras Jha respondió a Krebs y negó haber escrito Mirai. ^[8] Se informó que el FBI interrogó a Jha sobre su participación en el ciberataque Dyn de octubre de 2016. ^[44] El 13 de diciembre de 2017, Paras Jha, Josiah White y Dalton Norman se declararon culpables de delitos relacionados con la botnet Mirai . ^[45] El trío ayudó al gobierno con otras investigaciones de ciberseguridad y fueron sentenciados a libertad condicional y servicio comunitario sin prisión. ^[46]

Daniel Kaye, de 29 años, también conocido como "BestBuy", "Popopret" o "Spiderman", ha sido acusado de "utilizar una red infectada de ordenadores conocida como botnet Mirai para atacar y chantajear a los bancos Lloyds Banking Group y Barclays ", según la NCA. Ha sido extraditado de Alemania al Reino Unido según el mismo informe. Kaye también se ha declarado culpable ante el tribunal de secuestrar más de 900.000 routers de la red de Deutsche Telekom. ^{[47] [48]}

Los investigadores señalaron posteriormente al nombre de usuario "Nexus Zeta" como responsable del autor de nuevas variantes de Mirai (denominadas Okiru, Satori, Masuta y PureMasuta), ^{[49] [50] [22]} y el 21 de agosto de 2018, un gran jurado estadounidense acusó a Kenneth Currin Schuchman, de 20 años, también conocido como Nexus Zeta, de causar a sabiendas la transmisión de un programa, información, código y comandos, y como resultado de dicha conducta causar intencionalmente daños sin autorización a computadoras protegidas, según la acusación presentada en el Tribunal de Distrito de EE. UU. en Anchorage , ^{[51] [52]} seguido del arresto y juicio del sospechoso. ^[53]

En la cultura popular

El álbum de 2018 del músico y compositor electrónico estadounidense James Ferraro, Four Pieces for Mirai, hace referencia a Mirai en su narrativa continua.

Véase también

• Malware de Linux
• Ataque de denegación de servicio
• BASHLITE : otro malware de IoT conocido
• Linux.Darlloz : otro malware de IoT conocido
• Remaiten : otro bot DDoS de IoT
• Linux.Wifatch
• Hajime
• Robot ladrillo

Referencias

1. Biggs, John (10 de octubre de 2016). «Hackers publican el código fuente de una potente aplicación DDoS llamada Mirai». TechCrunch . Archivado desde el original el 20 de octubre de 2016. Consultado el 19 de octubre de 2016 .
2. njccic (28 de diciembre de 2016). «Mirai Botnet». Célula de Integración de Comunicaciones y Ciberseguridad de Nueva Jersey (NJCCIC). Archivado desde el original el 12 de diciembre de 2016. Consultado el 28 de diciembre de 2016 .
3. unixfreaxjp (31 de agosto de 2016). «MMD-0056-2016 - Linux/Mirai, cómo se recicla un antiguo código malicioso ELF». MalwareMustDie . Archivado desde el original el 5 de septiembre de 2016. Consultado el 31 de agosto de 2016 .
4. Krebs, Brian (21 de septiembre de 2016). «KrebsOnSecurity recibe un ataque DDoS récord». Brian Krebs . Archivado desde el original el 15 de noviembre de 2016 . Consultado el 17 de noviembre de 2016 .
5. Bonderud, Douglas (4 de octubre de 2016). "El malware filtrado de Mirai aumenta el nivel de amenaza de inseguridad en IoT". securityintelligence.com. Archivado desde el original el 21 de octubre de 2016. Consultado el 20 de octubre de 2016 .
6. Hackett, Robert (3 de octubre de 2016). "Por qué un hacker volcó el código detrás de una colosal botnet que pisotea sitios web". Fortune.com . Archivado desde el original el 22 de octubre de 2016. Consultado el 19 de octubre de 2016 .
7. Newman, Lily Hay. "Lo que sabemos sobre la interrupción masiva de Internet en la Costa Este del viernes". WIRED . Archivado desde el original el 22 de octubre de 2016. Consultado el 21 de octubre de 2016 .
8. Krebs, Brian. "¿Quién es Anna-Senpai, la autora del gusano Mirai?". Krebs on Security . Archivado desde el original el 22 de enero de 2017. Consultado el 25 de enero de 2017 .
9. "La botnet Mirai era parte de un plan de Minecraft para estudiantes universitarios". Wired . ISSN  1059-1028 . Consultado el 19 de octubre de 2020 .
10. Statt, Nick (21 de octubre de 2016). «Cómo un ejército de dispositivos vulnerables derribó la web hoy». The Verge . Archivado desde el original el 16 de noviembre de 2016. Consultado el 21 de octubre de 2016 .
11. Kan, Michael (18 de octubre de 2016). «Hackers crean más botnets de IoT con el código fuente de Mirai». ITWORLD . Archivado desde el original el 20 de octubre de 2016. Consultado el 20 de octubre de 2016 .
12. "IoTroop Botnet: The Full Investigation - Check Point Research". 29 de octubre de 2017. Archivado desde el original el 15 de enero de 2018. Consultado el 14 de enero de 2018 .
13. Zeifman, Igal; Bekerman, Dima; Herzberg, Ben (10 de octubre de 2016). "Desglosando Mirai: un análisis de botnet DDoS de IoT". Incapsula . Archivado desde el original el 21 de octubre de 2016 . Consultado el 20 de octubre de 2016 .
14. Moffitt, Tyler (10 de octubre de 2016). «Se publicó el código fuente del malware para IoT Mirai». Webroot . Archivado desde el original el 21 de octubre de 2016 . Consultado el 20 de octubre de 2016 .
15. Osborne, Charlie (17 de octubre de 2016). "La botnet DDoS Mirai se activa e infecta las puertas de enlace de Sierra Wireless". ZDNet . Archivado desde el original el 20 de octubre de 2016. Consultado el 20 de octubre de 2016 .
16. Xander (28 de octubre de 2016). «DDoS en Dyn: la historia completa». ServerComparator. Archivado desde el original el 21 de noviembre de 2016. Consultado el 21 de noviembre de 2016 .
17. Antonakakis, M., et al.: Entendiendo la botnet Mirai. En: 26.° Simposio de Seguridad USENIX (USENIX Security 2017) (2017)
18. Dan Goodin (12 de diciembre de 2017). «Una botnet de 100.000 miembros creada en un enrutador de día cero podría atacar en cualquier momento». Ars Technica . Archivado desde el original el 7 de febrero de 2018. Consultado el 4 de febrero de 2018 .
19. "Botnet IoT: más objetivos en la mira de Okiru". Fortinet . 25 de enero de 2018. Archivado desde el original el 23 de julio de 2018 . Consultado el 18 de abril de 2018 .
20. Leyden, John (16 de enero de 2016). "La nueva especie de botnet Mirai 'Okiru' busca un kit basado en ARC". www.theregister.co.uk . Archivado desde el original el 16 de enero de 2018 . Consultado el 4 de febrero de 2016 .
21. Warwick Ashford (18 de enero de 2018). «La botnet de próxima generación Mirai ataca las operaciones de minería de criptomonedas». Computer Weekly. Archivado desde el original el 7 de febrero de 2018. Consultado el 4 de febrero de 2018 .
22. Rene Millman (26 de enero de 2018). "El creador de Satori se relaciona con la nueva variante de Mirai, Masuta". SC Media UK. Archivado desde el original el 7 de febrero de 2018. Consultado el 4 de febrero de 2018 .
23. Catalin Cimpanu (27 de febrero de 2018). «Nueva variante de Mirai se centra en convertir dispositivos IoT en servidores proxy». Bleeping Computer. Archivado desde el original el 27 de febrero de 2018. Consultado el 27 de febrero de 2018 .
24. Rommel Joven y Kenny Yang (17 de mayo de 2018). «Una malvada familia de bots». Fortinet. Archivado desde el original el 23 de mayo de 2018. Consultado el 17 de mayo de 2018 .
25. Tara Seals (21 de mayo de 2018). "Wicked Botnet usa una gran cantidad de exploits para atacar IoT". Publicación de amenazas. Archivado desde el original el 21 de mayo de 2018. Consultado el 21 de mayo de 2018 .
26. Malwaremustdie/Unixfreaxjp (7 de julio de 2018). "Mirai mirai en la pared... ¿cuántos sois ahora?". Imgur . Consultado el 7 de julio de 2018 .
27. Johannes B. Ullrich (10 de julio de 2018). "Gusano (¿Mirai?) que explota el puente de depuración de Android (puerto 5555/tcp)". Foros de SANS ISC InfoSec. Archivado desde el original el 10 de julio de 2018. Consultado el 11 de julio de 2018 .
28. Satnam Narang (7 de febrero de 2019). "Vulnerabilidad de ejecución remota de código en ThinkPHP utilizada para implementar una variedad de malware (CVE-2018-20062)". Tenable. Archivado desde el original el 6 de mayo de 2019. Consultado el 7 de febrero de 2019 .
29. "Ataque de botnet de Internet de las cosas de doble efecto se sintió en Internet". 21 de octubre de 2016. Archivado desde el original el 19 de mayo de 2017. Consultado el 14 de junio de 2017 .
30. The Economist , 8 de octubre de 2016, La internet de las trampas Archivado el 6 de agosto de 2017 en Wayback Machine.
31. Fruhlinger, Josh (9 de marzo de 2018). "La botnet Mirai explicada: cómo los dispositivos IoT casi acaban con Internet". CSO Online . Archivado desde el original el 24 de julio de 2019. Consultado el 24 de julio de 2019 .
32. "Hoy la web ha sido atacada por innumerables dispositivos pirateados". theregister.co.uk. 21 de octubre de 2016. Archivado desde el original el 24 de octubre de 2016. Consultado el 24 de octubre de 2016 .
33. "La culpa es de la Internet de las cosas por destruir la Internet actual". Motherboard . VICE. 21 de octubre de 2016. Archivado desde el original el 24 de octubre de 2016 . Consultado el 27 de octubre de 2016 .
34. "Exalumno de Rutgers se declara culpable de ataques cibernéticos". North Jersey . Archivado desde el original el 2017-12-14 . Consultado el 2017-12-14 .
35. "¿Crees que el ataque DDoS a Mirai ha terminado? ¡No es así!". Archivado desde el original el 2016-10-27 . Consultado el 2016-10-26 .
36. McGoogan, Cara (4 de noviembre de 2016). «Un ciberataque sin precedentes deja fuera de servicio todo el servicio de Internet de Liberia». The Telegraph . Archivado desde el original el 21 de noviembre de 2016. Consultado el 21 de noviembre de 2016 .
37. "Ataque DDoS del malware Mirai 'acaba con empresas' en Liberia". PCWorld. Archivado desde el original el 22 de noviembre de 2016. Consultado el 21 de noviembre de 2016 .
38. "Un ciberataque masivo paraliza el acceso a Internet en Liberia". The Guardian . 3 de noviembre de 2016. Archivado desde el original el 21 de noviembre de 2016 . Consultado el 21 de noviembre de 2016 .
39. Schwartz, Mathew J. "El malware Mirai sigue lanzando ataques DDoS". bankinfosecurity.com .
40. Krebs, Brian (30 de noviembre de 2016). «New Mirai Worm Knocks 900K Germans Offline» (El nuevo gusano Mirai deja sin conexión a 900.000 alemanes). krebsonsecurity.com. Archivado desde el original el 20 de diciembre de 2016. Consultado el 14 de diciembre de 2016 .
41. "Los líderes alemanes están enfadados por el ciberataque y apuntan a una posible implicación rusa | Alemania | DW.COM | 29.11.2016". Deutsche Welle. Archivado desde el original el 5 de enero de 2017. Consultado el 5 de enero de 2017 .
42. "Nueva variante de Mirai integrada en los enrutadores domésticos TalkTalk". www.incapsula.com . Archivado desde el original el 22 de diciembre de 2016 . Consultado el 18 de diciembre de 2016 .
43. "Sospechoso de piratería informática en el router arrestado en el aeropuerto de Luton". BBC News . 2017-02-23. Archivado desde el original el 2017-02-24 . Consultado el 2017-02-23 .
44. Clark, Adam; Mueller, Mark (21 de enero de 2017). "El FBI interroga a un estudiante de Rutgers sobre un ciberataque masivo". NJ.com . Archivado desde el original el 23 de enero de 2017. Consultado el 25 de enero de 2017 .
45. Departamento de Justicia (13 de diciembre de 2017). "El Departamento de Justicia anuncia cargos y declaraciones de culpabilidad en tres casos de delitos informáticos que implican importantes ataques cibernéticos". justice.gov . Archivado desde el original el 13 de diciembre de 2017 . Consultado el 13 de diciembre de 2017 .
46. Shapiro, Scott (2023). Fancy Bear Goes Phishing: La oscura historia de la era de la información, en cinco hackeos extraordinarios (1.ª ed.). Nueva York: Farrar, Straus and Giroux. págs. 280–281. ISBN 978-0-374-60117-1.
47. Brian Krebs (5 de julio de 2017). "¿Quién es el autor de GovRAT y el botmaster de Mirai 'Bestbuy'?". Krebs on Security. Archivado desde el original el 5 de julio de 2017. Consultado el 5 de julio de 2017 .
48. Mathew J. Schwartz (31 de agosto de 2017). "Atacante de malware Mirai extraditado de Alemania al Reino Unido". Bank Info Security. Archivado desde el original el 31 de agosto de 2017. Consultado el 31 de agosto de 2017 .
49. Check Point Research (21 de diciembre de 2017). «Huawei Home Routers in Botnet Recruitment». Check Point. Archivado desde el original el 6 de febrero de 2018. Consultado el 4 de febrero de 2018 .
50. Catalin Cimpanu (22 de diciembre de 2017). "Hacker aficionado detrás de la botnet Satori". Bleeping Computer. Archivado desde el original el 27 de diciembre de 2017. Consultado el 4 de febrero de 2018 .
51. Kevin Poulsen (30 de agosto de 2018). «Hacker novato descubierto por una botnet monstruosa». The Daily Baast. Archivado desde el original el 7 de agosto de 2019. Consultado el 30 de agosto de 2018 .
52. Jessica Prokop (4 de septiembre de 2018). «Hombre de Vancouver acusado en caso de piratería informática federal en Alaska». The Columbian. Archivado desde el original el 5 de septiembre de 2018. Consultado el 4 de septiembre de 2018 .
53. Catalin Cimpanu (28 de octubre de 2018). "El autor de la botnet Satori vuelve a la cárcel tras incumplir las condiciones de su liberación previa al juicio". ZD Net. Archivado desde el original el 5 de septiembre de 2019. Consultado el 28 de octubre de 2018 .

Lectura adicional

• Greenberg, Andy (14 de noviembre de 2023). "Las confesiones de Mirai: tres jóvenes piratas informáticos que crearon un monstruo que mata a la web finalmente cuentan su historia". Wired .