Meris
¿Qué es?
Meris es el nombre de una de las botnets activas más grandes del mundo, relacionada con campañas extorsión de ataques DDoS contra proveedores de servicios de Internet y entidades financieras en varios países. Fue identificada por primera vez en el año 2021, y se estima que en la actualidad ya cuenta con más de 250.000 equipos infectados.
¿Qué hace?
Esta botnet infecta equipos con mayor potencia de procesamiento y conexión que otras, pudiendo llegar a realizar ataques de 110 millones de solicitudes por segundo. Mientras que otras botnets abusan de la capa de red, la botnet Meris utiliza la capa de aplicación.
Los operadores de la botnet envían correos electrónicos amenazantes a grandes organizaciones que no pueden permitirse lidiar con el tiempo de inactividad de la infraestructura en caso de ser atacadas.
Sistemas afectados
Los principales dispositivos afectados son:
- Routers de MikroTik.
- Puertas de enlace IoT.
- Puntos de acceso WiFi.
- Conmutadores.
¿Cómo me infecta?
Un alto procentaje de los dispositivos infectados son routers de Mikrotik. Los atacantes aprovechan una vulnerabilidad conocida del sistema operativo de estos dispositivos para conseguir el control de los mismos y unirlos a la botnet. Sus características se basan en el uso del proxy SOCKS4 y el puerto 5678 abierto.
Cómo desinfectar mi equipo
Observar la configuración del dispositivo y verificar lo siguiente:
- Si detecta la existencia de un cliente L2TP elimínelo.
- Si detecta una regla en el firewall que permita el acceso remoto a través del puerto 5678, elíminela.
- Si detecta una regla que ejecuta un script con el método fetch(), elimínela de la configuración.
- Si detecta un servidor proxy SOCKS habilitado de forma inusual, deshabilítelo.