CERCA DE 230.000 'ROUTERS' INFECTADOS EN UNA DE LAS MAYORES OPERACIONES DE CIBERCRIMEN DE 'BOTNET-AS-A-SERVICE'
Una investigación llevada a cabo por Avast, la compañía especializada en seguridad de Internet y antivirus, logra destapar una de las mayores operaciones de cibercrimen de 'botnet-as-a-service' de los últimos años.
En total son cerca de 230.000 routers de la marca MikroTik los que han sido atacados y como consecuencia sus dueños podrían estar participando sin saberlo en delitos como la propagación de 'malware' o la realización de ataques de denegación de servicio (DDoS).
Este 'botnet-as-a-service' es un tipo de ataque que consiste en infectar una red de equipos informáticos para que puedan ser controlados de manera remota. El descubrimiento de esta gran operación de ciberdelincuencia ha sido posible gracias a la labor de investigación que comenzó a raíz de diferentes hallazgos en los últimos años encabezada por el senior de Malware de Avast, Martin Hron, a partir de distintos hallazgos en los últimos años.
El trabajo de Martin Hron revela que se trata de un ataque construido por diferentes campañas de ‘malware’ entre las que se encuentra: la de minería de criptomonedas, notificada por Avast en 2018; el 'malware' Glupteba, un malware de tipo troyano que infecta ordenadores con sistema operativo Windows y Mac facilitando a los atacantes una puerta trasera en el equipo infectado; importantes ataques DDoS dirigidos a varias empresas en Rusia, en Nueva Zelanda, y en Estados Unidos; y presumiblemente también el malware' 'TrickBot’, un malware bancario de tipo troyano diseñado para robar información financiera de los usuarios infectando ordenadores.
Hron apunta que el servidor C2 es el que está detrás de esta operación y controla casi 230.000 'routers' MikroTik a los cuales ha podido "exclavizar" debido a una combinación de las credenciales por defecto y de varias vulnerabilidades. De las vulnerabilidades a las que se refiere Hron existe una registrada como CVE-2018-14847, que se hizo pública en 2018, y para la que MikroTik emitió una corrección.
Tal y como señalan los datos del motor de búsqueda Shodan.io, la mayor parte de los 'routers' MikroTik con el puerto crítico 8921 abierto -esto no quiere decir que sea vulnerable- están en Brasil (266k), Rusia (180k), Estados Unidos (146k), Italia (83k) e Indonesia (69k).
Debido a este ataque, desde la compañía recomiendan y aconsejan a los usuarios que vayan a actualizar sus ‘routers’ que deshabiliten la interfaz de administración del 'router' desde el lado público, que establezcan una contraseña segura, y que ayuden a otras personas que tengan dificultades para hacer este tipo de tareas.
Elena Vivar