Los enrutadores sin parches son los anfitriones de una nueva y enorme botnet

La próxima botnet que colapsará Internet está comenzando a despertar lentamente. Desde finales de diciembre, una botnet conocida como Satori ha estado infectando nuevos puntos finales y, en general, muestra los signos de un desastre a la espera de suceder. ¿Cómo debe prepararse para el próximo ataque DDoS a gran escala?

Una botnet inactiva se despierta

La última vez que vimos la botnet Satori fue en 2016, cuando todavía se llamaba Mirai. Sabemos que dos años es mucho tiempo en seguridad de la información, pero el incidente de la botnet Mirai es difícil de olvidar. Usando millones de dispositivos IoT infectados, como enrutadores, cámaras de seguridad y termostatos inteligentes, la botnet Mirai pudo bloquear la red troncal de fibra de casi toda la costa este de EE. UU. El ataque cerró Internet durante horas.

Satori no es Mirai, pero es un primo cercano. A diferencia de Mirai, que necesitaba descargar un componente separado antes de que se activara, Satori se propaga como un gusano. Los hosts infectados escanean los puertos abiertos en los enrutadores y otros dispositivos de IoT en busca de vulnerabilidades específicas. Hasta la fecha, se han identificado tres tipos de dispositivos vulnerables:

• Huawei Home Gateway los enrutadores pueden contener un error de ejecución de código remoto explotable. Se sabe poco sobre la vulnerabilidad y actualmente no hay ningún parche disponible.
• Realtek los enrutadores contienen una vulnerabilidad similar, pero se ha parcheado en muchos sistemas, lo que ha dado lugar a una menor tasa de éxito de este exploit.
• Redes DASAN, un fabricante de enrutadores poco conocido en Corea del Sur, opera alrededor de 40.000 enrutadores. Todos estos enrutadores parecen ser vulnerables a Satori, pero el fabricante no ha respondido a los investigadores de seguridad y no parece estar dispuesto a emitir un parche.

No hace falta decir que cualquier persona que esté ejecutando estos dispositivos en la actualidad debe tomar medidas para aislarlos, parchearlos o reemplazarlos de inmediato si es necesario.

Además de infectar los enrutadores, el operador de la red Satori ha encontrado una actividad secundaria rentable. El malware Satori recientemente apuntó e infectó el software de minería de criptomonedas. Al explotar las vulnerabilidades en un programa de software conocido como Claymore, el malware pudo sobrescribir las direcciones de las carteras de criptomonedas con las del operador del malware. Por lo tanto, toda la moneda extraída por la máquina asociada se desviará al atacante. La botnet Satori ya ha recaudado más de $ 2,000 USD en la criptomoneda conocida como Ethereum usando este método.

¿Una botnet multipropósito?

El uso de esta botnet en particular para extraer criptomonedas sugiere que su operador tiene más en mente que simples ataques DDoS. Si bien los operadores de botnets anteriores se han complacido en usar sus redes con el propósito de extorsionar, otros ataques a fines de 2017 y principios de 2018 sugieren que este modelo comercial podría estar comenzando a cambiar.

Los piratas informáticos han inaugurado una serie de esquemas para robar o minar parasitariamente varias criptomonedas. Varios grupos han comenzado a usar adware malicioso para infectar sitios web y secuestrar las CPU de los visitantes para minar Bitcoin. Otro grupo pudo infectar la nube pública de Tesla Motors al secuestrar una consola Kubernetes indefensa.

Si bien la potencia de procesamiento individual de un solo enrutador es insignificante, una red de decenas de miles de bots podría generar una gran cantidad de criptomonedas en conjunto. Si bien estos ataques pueden ser relativamente inofensivos, después de todo, no implican el robo o el cifrado de datos, el potencial de molestias masivas es innegable.

Cómo estar atento a los criptojacking y los ataques DDoS

Si sospecha que un atacante ha secuestrado uno de sus dispositivos de IoT, o si cree que alguien está apuntando un ataque DDoS en su contra, querrá saberlo de inmediato. Estos tipos de ataques sofisticados siguen creciendo y ya no está bien tener puntos ciegos en su red y en la infraestructura de aplicaciones. AppNeta puede ayudar proporcionando una ventana a su red. Podrá ver dónde se están produciendo las ralentizaciones de la red y las aplicaciones y sacar conclusiones rápidamente sobre lo que está sucediendo.

Los ataques DDoS y el cryptojacking conducirán a una notable ralentización de la red y de las aplicaciones, lo que tendrá un efecto en cascada en términos de productividad y capacidad de respuesta del cliente. Si desea mitigar estos problemas antes de que ocurran, comuníquese con AppNeta para obtener una demostración gratuita hoy mismo.