Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Malware botnet utiliza 2 días cero para infectar NVR y Enrutadores

Escrito por Adriana Aguilar | Dec 5, 2023 11:51:25 PM

En el mundo de la tecnología, la interconexión de dispositivos es una realidad omnipresente. Desde cámaras de vigilancia hasta routers domésticos, la mayoría de los dispositivos en la actualidad están conectados a la red. Sin embargo, esta interconexión también ha creado oportunidades para ciberataques, y uno de los métodos más preocupantes es la formación de botnets. En este artículo, exploraremos qué son las botnets, cómo afectan a dispositivos de red como los NVRs (Network Video Recorders) y los routers, y qué medidas se pueden tomar para protegerse contra estas amenazas.

 

¿Qué es un botnet y por qué es peligroso?

 

 

Un botnet es una red de dispositivos conectados a Internet, como ordenadores, smartphones o dispositivos del Internet de las cosas (IoT), que han sido infectados por un software malicioso que permite a un atacante controlarlos de forma remota sin el conocimiento de sus propietarios. Los ciberdelincuentes pueden utilizar los dispositivos infectados para realizar ataques de denegación de servicio distribuido (DDoS), robar datos, enviar spam, realizar phishing o acceder al dispositivo y a su conexión. El responsable de un botnet se conoce como botmaster o bot herder

Un botnet es peligroso porque puede causar graves daños tanto a los dispositivos infectados como a los objetivos de los ataques. Por ejemplo, un botnet puede:

 

  • Consumir los recursos del dispositivo, como la batería, el ancho de banda o el espacio de almacenamiento, afectando a su rendimiento y funcionalidad.
  • Robar información personal, financiera o confidencial del dispositivo o de las cuentas asociadas, como contraseñas, números de tarjetas de crédito o datos médicos.
  • Infectar el dispositivo con otros tipos de malware, como ransomware, spyware o keyloggers, que pueden bloquear el acceso, espiar la actividad o registrar las pulsaciones de teclado.
  • Utilizar el dispositivo para atacar a otros dispositivos o servidores, provocando interrupciones del servicio, pérdida de datos o daños en la infraestructura.
  • Exponer el dispositivo a posibles acciones legales, ya que puede ser considerado como cómplice o responsable de los delitos cometidos por el botnet.

 

Te podrá interesar leer:  Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad

 

¿Cómo se ha descubierto el nuevo malware de botnet que explota dos vulnerabilidades de día cero?

 

Una nueva botnet de malware, identificada como 'InfectedSlurs' y basada en la famosa Mirai, ha estado explotando dos vulnerabilidades de ejecución remota de código (RCE) de día cero para infectar enrutadores y dispositivos de grabación de vídeo (NVR). Este malware secuestra los dispositivos con el fin de incorporarlos a su red para llevar a cabo ataques de denegación de servicio distribuido (DDoS), presumiblemente con fines lucrativos.

El descubrimiento de 'InfectedSlurs' se atribuye a Akamai, que lo detectó por primera vez en sus honeypots a finales de octubre de 2023. Sin embargo, se ha revelado que la actividad inicial de esta botnet se remonta a finales de 2022.

La empresa de ciberseguridad informa que los fabricantes afectados aún no han solucionado las dos vulnerabilidades explotadas, y por razones de seguridad, los detalles específicos sobre estas fallas se han mantenido reservados hasta el momento.

 

Te podrá interesar: Origen de botnets: Variantes Mirai - HailBot, KiraiBot, CatDDoS

 

Descubrimiento y Objetivos

 

El Equipo de Respuesta de Inteligencia de Seguridad (SIRT) de Akamai identificó por primera vez esta botnet en octubre de 2023 cuando notaron una actividad inusual en un puerto TCP poco utilizado que estaba dirigido a sus honeypots. Esta actividad involucraba intentos de autenticación mediante solicitudes POST, seguidos de intentos de inyección de comandos.

Tras un análisis más profundo, los investigadores de SIRT descubrieron que los dispositivos objetivo estaban relacionados con un fabricante de NVR específico, aunque este no se mencionó en el informe por razones de seguridad. La botnet aprovechaba una vulnerabilidad RCE no documentada para obtener acceso no autorizado a estos dispositivos.

Además de esta técnica, el malware también utilizaba credenciales predeterminadas documentadas en los manuales del fabricante de múltiples productos NVR para instalar un cliente bot y llevar a cabo actividades maliciosas.

En una inspección más cercana, Akamai descubrió que la botnet también apuntaba a routers LAN inalámbricos populares, comúnmente utilizados en hogares y hoteles, que presentaban otra vulnerabilidad de día cero RCE explotada por este malware. El fabricante anónimo de estos routers prometió lanzar actualizaciones de seguridad que abordarán el problema en diciembre de 2023.

 

Te podrá interesar leer:  Alerta: Hackers controlan routers por fallo crítico

 

Detalles de InfectedSlurs

 

'InfectedSlurs', llamada así debido a su uso de lenguaje ofensivo en los dominios C2 (comando y control) y cadenas codificadas, es una variante de la botnet Mirai conocida como JenX Mirai. La infraestructura C2 de esta botnet parece estar relativamente concentrada y también parece respaldar las operaciones de otra botnet llamada HailBot.

El análisis reveló la existencia de una cuenta de Telegram asociada con el grupo responsable de 'InfectedSlurs', aunque esta cuenta ya ha sido eliminada. En esa cuenta, se publicaron capturas de pantalla que mostraban casi diez mil bots en el protocolo Telnet y otros 12,000 en tipos/marcas específicas de dispositivos denominados "Vacron", "ntel" y "UTT-Bots".

Akamai informa que, a pesar de algunas pequeñas modificaciones de código en comparación con la botnet Mirai original, 'InfectedSlurs' sigue siendo una herramienta DDoS autopropagante que admite ataques mediante inundaciones de solicitudes SYN, UDP y HTTP GET. Al igual que Mirai, 'InfectedSlurs' no incluye un mecanismo de persistencia. Dado que no se ha proporcionado un parche para los dispositivos afectados, reiniciar los NVR y routers interrumpiría temporalmente la actividad de la botnet.

 

Te podrá interesar:  Desentrañando el Mundo de la Ciberseguridad C2

 

Protegiendo tus Dispositivos de Red

 

Dado que los dispositivos de red son un objetivo principal para las botnets, es crucial tomar medidas para protegerlos. Aquí hay algunas recomendaciones para mantener tus NVRs y routers seguros:

 

  1. Actualizaciones de firmware: Mantén siempre actualizado el firmware de tus dispositivos de red. Los fabricantes suelen lanzar actualizaciones de seguridad para abordar las vulnerabilidades conocidas. Configura tus dispositivos para que se actualicen automáticamente si es posible.

  2. Contraseñas seguras: Cambia las contraseñas predeterminadas de tus dispositivos y utiliza contraseñas seguras y únicas. Evita usar contraseñas comunes como "123456" o "password".

  3. Firewalls y filtrado de paquetes: Configura cortafuegos en tus dispositivos de red para bloquear el tráfico no deseado. Puedes establecer reglas para permitir solo el tráfico necesario.

  4. Segmentación de red: Divide tu red en segmentos, de modo que los dispositivos críticos, como las cámaras de vigilancia, estén en una red separada de tus dispositivos personales. Esto limitará la propagación de un ataque en caso de compromiso.

  5. Monitoreo de red: Utiliza herramientas de monitoreo de red, como nuestro SOC,  para estar atento a cualquier actividad inusual. La detección temprana de intrusiones puede ayudar a prevenir daños mayores.

  6. Autenticación de dos factores (2FA): Habilita la autenticación de dos factores siempre que sea posible. Esto agrega una capa adicional de seguridad a tus dispositivos.

  7. Auditoría de dispositivos: Realiza auditorías periódicas de tus dispositivos de red para buscar vulnerabilidades y configuraciones incorrectas.

  8. Mantén un inventario: Lleva un registro de todos los dispositivos conectados a tu red para asegurarte de que no haya dispositivos no autorizados.

 

Las botnets representan una amenaza creciente en el mundo de la ciberseguridad, y los dispositivos de red, como los NVRs y routers, son objetivos frecuentes. La explotación de zero-days hace que estas amenazas sean aún más peligrosas. Sin embargo, siguiendo las prácticas recomendadas de seguridad y estando al tanto de las últimas actualizaciones y parches de seguridad, puedes reducir significativamente el riesgo de compromiso de tus dispositivos de red. La protección de tu red es esencial para garantizar la privacidad y la seguridad en un mundo cada vez más interconectado.