Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

FBI detiene botnet china al eliminar malware de routers infectados

Escrito por Levi Yoris | Feb 1, 2024 7:30:00 PM

Recientemente, el FBI logró un hito significativo al desmantelar un botnet chino, operación que marcó un punto de inflexión en la lucha contra el cibercrimen.

 

¿Qué es un Botnet?

 

 

Antes de sumergirnos en el caso específico, es crucial entender qué es un botnet. Un botnet es una red de dispositivos conectados a Internet, que han sido infectados por malware y controlados por ciberdelincuentes. Estos dispositivos pueden ser computadoras personales, servidores o, como en este caso, routers. Los ciberdelincuentes utilizan botnets para una variedad de propósitos maliciosos, incluyendo ataques DDoS, robo de datos y distribución de malware.

 

Conoce más sobre:  Origen de botnets: Variantes Mirai - HailBot, KiraiBot, CatDDoS

 

El caso del botnet chino

 

El FBI ha desmantelado la botnet KV, utilizada por hackers chinos del grupo Volt Typhoon, conocidos por sus ataques a infraestructuras críticas de EE. UU. Este grupo, también llamado Bronze Silhouette, secuestró numerosas oficinas pequeñas y domésticas en Estados Unidos, utilizando sus redes para camuflar sus actividades maliciosas y evadir la detección.

Los dispositivos comprometidos en esta botnet incluían routers Netgear ProSAFE, Cisco RV320, DrayTek Vigor y cámaras IP Axis. Fue Lumen Technologies, a través de su equipo Black Lotus Labs, quien inicialmente asoció este malware con el grupo chino en diciembre.

Un informe reciente reveló que los hackers de Volt Typhoon lograron tomar control de aproximadamente el 30% de todos los dispositivos Cisco RV320/325 en línea en poco más de un mes.

"El malware de Volt Typhoon permitió a China realizar actividades encubiertas, incluyendo el reconocimiento y la explotación de redes contra infraestructura crítica como comunicaciones, energía, transporte y agua", explicó Christopher Wray, director del FBI. "Por lo tanto, en colaboración con nuestros socios, llevamos a cabo una operación judicialmente autorizada para eliminar el acceso de Volt Typhoon".

La operación del FBI comenzó el 6 de diciembre tras obtener una orden judicial que autorizaba la eliminación de la botnet. Los agentes del FBI hackearon el servidor de comando y control de la botnet, enviando comandos a los dispositivos comprometidos para desconectarlos y prevenir su reconexión por parte de los hackers.

Además, se emitió un comando para desinstalar el componente VPN del malware y bloquear a los hackers, impidiéndoles usar los dispositivos para futuros ataques.

La mayoría de los routers afectados por la KV Botnet eran modelos Cisco y NetGear, vulnerables por haber alcanzado su "fin de vida" y carecer de soporte de seguridad actualizado. La operación autorizada por el tribunal no solo eliminó el malware de estos routers, sino que también tomó medidas adicionales para desconectarlos permanentemente de la botnet, incluyendo el bloqueo de comunicaciones con otros dispositivos usados para controlar la botnet, según un comunicado del Departamento de Justicia.

 

También te podrá interesar: Desmantelamiento de Qakbot: Un Caso de Éxito en Ciberseguridad

 

Lecciones aprendidas y mejores prácticas de seguridad

 

Este caso resalta la importancia de la seguridad cibernética a nivel individual y empresarial. Algunas prácticas recomendadas incluyen:

 

  1. Mantener el software actualizado: Asegurarse de que todos los dispositivos tengan las últimas actualizaciones de seguridad.
  2. Uso de contraseñas fuertes y gestores de contraseñas.
  3. Instalar software antivirus y mantenerlo actualizado.
  4. Ser conscientes de los enlaces y archivos sospechosos.
  5. Configurar adecuadamente los ajustes de seguridad en routers y otros dispositivos de red.

 

Conoce más sobre:  Monitoreo de Enrutadores de Red con OpManager

 

Conclusión

 

La desarticulación del botnet chino por parte del FBI es un hito en la lucha contra el ciberdelito. Este evento no solo muestra la evolución de las tácticas de las agencias de seguridad, sino que también subraya la importancia de buenas prácticas de seguridad por parte de los usuarios. La seguridad cibernética es una responsabilidad compartida, y eventos como este nos recuerdan la necesidad de estar siempre vigilantes.