Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

Anonymous puede haber secuestrado miles de enrutadores para botnet zombie

Nuevas evidencias sugieren que Anonymous ha comenzado a usar enrutadores domésticos infectados con malware para lanzar ataques DDoS contra varios objetivos, particularmente en los últimos meses. Esa es la conclusión de un nuevo informe de la firma de seguridad Incapsula, que comenzó a detectar sistemas infectados en diciembre de 2014.

ataque-cronología-mrblack-botnet

Según Incapsula, los ataques que ha registrado provienen en gran parte de enrutadores SOHO (oficinas pequeñas / oficinas en el hogar) basados ​​en ARM basados ​​en diseños de Ubiquiti. En 2013, se descubrió que los dispositivos Ubiquiti tenían una falla de seguridad significativa que permitía rastrear contraseñas y otros datos del hardware, pero esta vulnerabilidad parece haber requerido una conexión física al enrutador. Lo que Incapsula encontró es más serio: muchos enrutadores Ubiquiti parecen haber habilitado los inicios de sesión HTTP y SSH de forma predeterminada y están utilizando credenciales estándar proporcionadas por el proveedor. La compañía apunta a los países en desarrollo para su hardware, lo que explica la fuerte concentración en el este de Asia.

(Este es un buen lugar para señalar que siempre debe cambiar el nombre de usuario y la contraseña predeterminados de su enrutador).

mrblack-botnet-principales-países-atacantes

Los enrutadores que Incapsula examinó se cargaron con un promedio de 4 variantes de MrBlack, una herramienta DDoS (se observaron 137 variantes de MrBlack en total). Otras cargas de software incluyeron DoFloo y Mayday (también herramientas DDOS), así como Skynet, un programa de puerta trasera. En este caso, EE. UU. Actúa como centro de comando y control, y la mayoría de los enrutadores lanzan los ataques ubicados en Tailandia y Brasil (85% de ellos). Los servidores de comando y control se ubicaron principalmente en China, pero EE. UU. Representó una participación minoritaria significativa, con un 21,7%.

La botnet autorreplicante atado a anónimo

Una faceta interesante de la infección MrBlack es que a los enrutadores infectados se les ha asignado la tarea de propagar su infección a otros dispositivos. Al menos algunos de los enrutadores buscan puertos SSH abiertos y luego intentan acceder a ellos usando las credenciales predeterminadas.

AnonOps

Esta imagen y el texto asociado se han eliminado de la historia original, sin explicación.

Aquí hay un dato divertido. Cuando vi esta historia destellar a través del DailyDot, Noté que la publicación había elegido incrustar el informe original de Incapsula en Scribd. Curiosamente, la versión del informe conservada en Scribd no coincide con la versión actual en la propia página web de Incapsula. Específicamente, la versión de Scribd se refiere a los servidores de comando y control que reportan a AnonOps.com, un canal de IRC conocido para la organización. Esta información falta en el informe en línea actual.

No está claro por qué se redactó o cuál se sospecha que es el vínculo entre Anonymous y el paquete de malware MrBlack. Ciertamente, es posible que los elementos dentro de Anonymous sean solo un grupo que está explotando la seguridad del enrutador para su propio beneficio.

De cualquier manera, cambie la combinación de inicio de sesión / contraseña de administrador en su enrutador. Entre esto, el malware de la GPU y el duro asesinato de Rombertik, el lápiz y el papel anticuados están comenzando a parecer una alternativa informática decente.