Bigviktor

¿Qué es?

Bigviktor es una botnet de tipo DDoS (denegación de servicio distribuida) que se enfoca en comprometer dispositivos de red, como routers, para lanzar ataques de denegación de servicio y establecer comunicaciones ocultas con sus servidores de mando y control (C2). Su infraestructura se basa en un algoritmo de generación de dominios (DGA) que pretende evadir los sistemas de detección tradicionales.

¿Qué hace?

Esta botnet tiene capacidad para realizar las siguientes acciones:

Compromete dispositivos vulnerables (principalmente routers de la marca DrayTek) y los integra en una red bots distribuida.
Lanza ataques de denegación de servicio distribuida contra servidores y objetivos concretos para provocar la interrupción de sus servicios en línea.
Utiliza un algoritmo DGA basado en diccionario con combinaciones de palabras en inglés para comunicarse con su infraestructura de servidores de mando y control (C2) y dificultar su rastreo.
Recibe actualizaciones desde sus servidores de mando y control (C2) para modificar su comportamiento y desplegar nuevas versiones.
Permite a los atacantes mantener el control persistente sobre los dispositivos comprometidos mediante la ejecución remota de comandos.
Perminte las conexiones con sitios no legítimos y la descarga de otros ficheros y programas maliciosos.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos de red con sistemas operativos Linux (sobre todo routers de la marca DrayTek).

¿Cómo me infecta?

Esta botnet se distribuye, sobre todo, a través de la explotación de la vulnerabilidad CVE-2020-8515, que permite ejecución remota de comandos sin necesidad de autenticación y, por tanto, la descarga y ejecución de su componente malicioso.