Actualice los enrutadores MikroTik: 170,000 dispositivos afectados por malware de criptomoneda


Actualmente, el malware apunta a enrutadores MikroTik sin parchear en Brasil, pero los investigadores creen que ya es hora de que se disemine por todo el mundo.

Los enrutadores no parcheados fabricados por MikroTik se han convertido en objetivos potenciales de las campañas de malware de cifrado en Brasil. De acuerdo con el análisis del investigador de seguridad de Trustwave Simon Kenin, se ha observado un incremento sin precedentes en los ataques de cryptojacking/cryptomining basados ​​en la web en Brasil. Más de 170,000 enrutadores fabricados por la empresa de redes con sede en Letonia MikroTik se utilizan en esta campaña .

Inicialmente, un gran número de usuarios brasileños fueron atacados por ciberdelincuentes para crear un ejército de botnets mineros. Este ejército de botnets se usa para propagar malware para infectar los dispositivos comprometidos. Se cree que un parche de software desactualizado es la causa principal del compromiso de una cantidad tan enorme de enrutadores.

Según una publicación de blog de Simon, lo que sucedió fue que la compañía parchó una vulnerabilidad de acceso remoto en abril de 2018. Esta vulnerabilidad podría haber permitido que los atacantes obtuvieran acceso no autorizado a los enrutadores MikroTik de forma remota . Después de corregir la falla, los investigadores de seguridad publicaron un exploit PoC (prueba de concepto) para explicar el método de acceso a los dispositivos MikroTik .

El PoC, que fue escrito en Python, fue utilizado por los ciberdelincuentes para infectar los enrutadores utilizando un código que carga el software de criptominado basado en navegador de CoinHive . Por lo tanto, cuando un usuario intenta acceder a Internet utilizando el proxy MikroTik encontrará un error de HTTP porque el Javascript de CoinHive se ha inyectado en páginas web a las que los usuarios acceden a través de enrutadores comprometidos. Luego, el dispositivo comienza a extraer criptomonedas Monero para los atacantes.

Esta vulnerabilidad en particular se ha utilizado en al menos tres ataques cryptomining, el primero de los cuales afectó a alrededor de 183,700 enrutadores. Dos ataques posteriores lograron afectar a 16,000 y 25,000 enrutadores ubicados en Moldavia. Esto significa que la campaña no está limitada a ninguna ubicación geográfica en particular, lo que de hecho es una característica alarmante de la campaña. Es por eso que los investigadores de seguridad instan a los usuarios de enrutadores de MikroTik a parchar inmediatamente sus dispositivos porque los ciberdelincuentes están buscando enrutadores sin parches.

Para su información, el parche de abril fue el resultado de la propia investigación de MikroTik en la que se detectó la falla de seguridad. Este defecto en particular puede servir como una «herramienta especial para conectarse al puerto [de administración] y solicitar el archivo de base de datos del usuario del sistema». La falla permite a los atacantes leer cualquier archivo del enrutador, lo que les permite robar datos fácilmente. El archivo de la base de datos del usuario es más importante en este sentido debido a que MikroTik almacena nombres de usuario y contraseñas en formato de texto plano en esta base de datos.

Con la técnica criptográfica de estiramiento de sal, se puede verificar si la contraseña es correcta o no, al hacerla coincidir con una entrada en la base de datos y obtener una cadena de coincidencia única. El administrador de MikroTik se está utilizando como el vector de ataque en las últimas campañas.

Kenin reveló que los atacantes reemplazaron el archivo de proxy web integrado de MikroTik llamado error.html, que se ejecuta cada vez que hay un error relacionado con el proxy, y cargó una página web en su lugar que lleva al software cryptomining de CoinHive . Por lo tanto, solo se obtiene el cifrado cuando se utiliza un proxy MikroTik para acceder a la web y el proceso de minería solo dura hasta que sale del navegador.

Las empresas a menudo cometen el error de ignorar este tipo de vulnerabilidades y los parches se retrasan durante semanas o meses, lo que ayuda a los ciberdelincuentes en más de una forma.

Vía |hackread

log in

reset password

Back to
log in