Agencias/Ciudad de México.- Una de las mayores operaciones de cibercrimen de ‘botnet-as-a-service’ vistas en los últimos años implica a cerca de 230,000 ‘routers’ de la firma MikroTik vulnerables cuyos dueños, sin saberlo, participan de actividades delictivas como la propagación de ‘malware’ o la realización de ataques de denegación de servicio (DDoS).
El descubrimiento de las operaciones de este ‘botnet-as-a-service’, es decir, una red de equipos informáticos infectados que se controlan de forma remota, es el resultado de una investigación realizada por el investigador senior de Malware de Avast, Martin Hron, a partir de distintos hallazgos en los últimos años.
En concreto, este investigador revela que el servidor C2 fue el responsable de distribuir una campaña de ‘malware’ de minería de criptomonedas -de la que Avast informó en 2018-, el ‘malware’ Glupteba, importantes ataques DDoS dirigidos a varias empresas en Rusia, incluyendo Yandex, así como en Nueva Zelanda, y los Estados Unidos, y presumiblemente también el malware’ ‘TrickBot.
Hron señala en su investigación que el servidor C2 sirve como una ‘botnet-as-a-service’ que controla casi 230.000 ‘routers’ MikroTik vulnerables, a los que pudo “exclavizar” dada la combinación de las credenciales por defecto y de varias vulnerabilidades, en concreto, de una vulnerabilidad registrada como CVE-2018-14847, que se hizo pública en 2018, y para la que MikroTik emitió una corrección, como se recoge en un comunicado.
Según el motor de búsqueda Shodan.io, el mayor número de ‘routers’ MikroTik con el puerto crítico 8921 abierto (aunque no necesariamente vulnerables) se encuentra en Brasil (266k), Rusia (180k), Estados Unidos (146k), Italia (83k) e Indonesia (69k).
Por ello, desde Avast recomiendan a los usuarios que actualicen sus ‘routers’ con los últimos parches de seguridad, que establezcan una contraseña segura para el ‘router’, que deshabiliten la interfaz de administración del ‘router’ desde el lado público y que ayuden a otras personas que no sean tan expertas en tecnología.
Microsoft publica una herramienta para detectar infecciones de la botnet TrickBot en routers MikroTikhttps://t.co/gWt9RxHBga
➡️Herramienta RouterOS Scannerhttps://t.co/u21LQPToQX pic.twitter.com/EeeTXkzAp4— elhacker.NET (@elhackernet) March 17, 2022