En el mundo de la tecnología, la interconexión de dispositivos es una realidad omnipresente. Desde cámaras de vigilancia hasta routers domésticos, la mayoría de los dispositivos en la actualidad están conectados a la red. Sin embargo, esta interconexión también ha creado oportunidades para ciberataques, y uno de los métodos más preocupantes es la formación de botnets. En este artículo, exploraremos qué son las botnets, cómo afectan a dispositivos de red como los NVRs (Network Video Recorders) y los routers, y qué medidas se pueden tomar para protegerse contra estas amenazas.
Un botnet es una red de dispositivos conectados a Internet, como ordenadores, smartphones o dispositivos del Internet de las cosas (IoT), que han sido infectados por un software malicioso que permite a un atacante controlarlos de forma remota sin el conocimiento de sus propietarios. Los ciberdelincuentes pueden utilizar los dispositivos infectados para realizar ataques de denegación de servicio distribuido (DDoS), robar datos, enviar spam, realizar phishing o acceder al dispositivo y a su conexión. El responsable de un botnet se conoce como botmaster o bot herder
Un botnet es peligroso porque puede causar graves daños tanto a los dispositivos infectados como a los objetivos de los ataques. Por ejemplo, un botnet puede:
Te podrá interesar leer: Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad
Una nueva botnet de malware, identificada como 'InfectedSlurs' y basada en la famosa Mirai, ha estado explotando dos vulnerabilidades de ejecución remota de código (RCE) de día cero para infectar enrutadores y dispositivos de grabación de vídeo (NVR). Este malware secuestra los dispositivos con el fin de incorporarlos a su red para llevar a cabo ataques de denegación de servicio distribuido (DDoS), presumiblemente con fines lucrativos.
El descubrimiento de 'InfectedSlurs' se atribuye a Akamai, que lo detectó por primera vez en sus honeypots a finales de octubre de 2023. Sin embargo, se ha revelado que la actividad inicial de esta botnet se remonta a finales de 2022.
La empresa de ciberseguridad informa que los fabricantes afectados aún no han solucionado las dos vulnerabilidades explotadas, y por razones de seguridad, los detalles específicos sobre estas fallas se han mantenido reservados hasta el momento.
Te podrá interesar: Origen de botnets: Variantes Mirai - HailBot, KiraiBot, CatDDoS
El Equipo de Respuesta de Inteligencia de Seguridad (SIRT) de Akamai identificó por primera vez esta botnet en octubre de 2023 cuando notaron una actividad inusual en un puerto TCP poco utilizado que estaba dirigido a sus honeypots. Esta actividad involucraba intentos de autenticación mediante solicitudes POST, seguidos de intentos de inyección de comandos.
Tras un análisis más profundo, los investigadores de SIRT descubrieron que los dispositivos objetivo estaban relacionados con un fabricante de NVR específico, aunque este no se mencionó en el informe por razones de seguridad. La botnet aprovechaba una vulnerabilidad RCE no documentada para obtener acceso no autorizado a estos dispositivos.
Además de esta técnica, el malware también utilizaba credenciales predeterminadas documentadas en los manuales del fabricante de múltiples productos NVR para instalar un cliente bot y llevar a cabo actividades maliciosas.
En una inspección más cercana, Akamai descubrió que la botnet también apuntaba a routers LAN inalámbricos populares, comúnmente utilizados en hogares y hoteles, que presentaban otra vulnerabilidad de día cero RCE explotada por este malware. El fabricante anónimo de estos routers prometió lanzar actualizaciones de seguridad que abordarán el problema en diciembre de 2023.
Te podrá interesar leer: Alerta: Hackers controlan routers por fallo crítico
'InfectedSlurs', llamada así debido a su uso de lenguaje ofensivo en los dominios C2 (comando y control) y cadenas codificadas, es una variante de la botnet Mirai conocida como JenX Mirai. La infraestructura C2 de esta botnet parece estar relativamente concentrada y también parece respaldar las operaciones de otra botnet llamada HailBot.
El análisis reveló la existencia de una cuenta de Telegram asociada con el grupo responsable de 'InfectedSlurs', aunque esta cuenta ya ha sido eliminada. En esa cuenta, se publicaron capturas de pantalla que mostraban casi diez mil bots en el protocolo Telnet y otros 12,000 en tipos/marcas específicas de dispositivos denominados "Vacron", "ntel" y "UTT-Bots".
Akamai informa que, a pesar de algunas pequeñas modificaciones de código en comparación con la botnet Mirai original, 'InfectedSlurs' sigue siendo una herramienta DDoS autopropagante que admite ataques mediante inundaciones de solicitudes SYN, UDP y HTTP GET. Al igual que Mirai, 'InfectedSlurs' no incluye un mecanismo de persistencia. Dado que no se ha proporcionado un parche para los dispositivos afectados, reiniciar los NVR y routers interrumpiría temporalmente la actividad de la botnet.
Te podrá interesar: Desentrañando el Mundo de la Ciberseguridad C2
Dado que los dispositivos de red son un objetivo principal para las botnets, es crucial tomar medidas para protegerlos. Aquí hay algunas recomendaciones para mantener tus NVRs y routers seguros:
Actualizaciones de firmware: Mantén siempre actualizado el firmware de tus dispositivos de red. Los fabricantes suelen lanzar actualizaciones de seguridad para abordar las vulnerabilidades conocidas. Configura tus dispositivos para que se actualicen automáticamente si es posible.
Contraseñas seguras: Cambia las contraseñas predeterminadas de tus dispositivos y utiliza contraseñas seguras y únicas. Evita usar contraseñas comunes como "123456" o "password".
Firewalls y filtrado de paquetes: Configura cortafuegos en tus dispositivos de red para bloquear el tráfico no deseado. Puedes establecer reglas para permitir solo el tráfico necesario.
Segmentación de red: Divide tu red en segmentos, de modo que los dispositivos críticos, como las cámaras de vigilancia, estén en una red separada de tus dispositivos personales. Esto limitará la propagación de un ataque en caso de compromiso.
Monitoreo de red: Utiliza herramientas de monitoreo de red, como nuestro SOC, para estar atento a cualquier actividad inusual. La detección temprana de intrusiones puede ayudar a prevenir daños mayores.
Autenticación de dos factores (2FA): Habilita la autenticación de dos factores siempre que sea posible. Esto agrega una capa adicional de seguridad a tus dispositivos.
Auditoría de dispositivos: Realiza auditorías periódicas de tus dispositivos de red para buscar vulnerabilidades y configuraciones incorrectas.
Mantén un inventario: Lleva un registro de todos los dispositivos conectados a tu red para asegurarte de que no haya dispositivos no autorizados.
Las botnets representan una amenaza creciente en el mundo de la ciberseguridad, y los dispositivos de red, como los NVRs y routers, son objetivos frecuentes. La explotación de zero-days hace que estas amenazas sean aún más peligrosas. Sin embargo, siguiendo las prácticas recomendadas de seguridad y estando al tanto de las últimas actualizaciones y parches de seguridad, puedes reducir significativamente el riesgo de compromiso de tus dispositivos de red. La protección de tu red es esencial para garantizar la privacidad y la seguridad en un mundo cada vez más interconectado.