¿Te has puesto a pensar que ese router que tienes en casa podría ser el blanco perfecto para los hackers? Sí, ese mismo que conectas y luego olvidas. Aunque no lo parezca, es una de las piezas más importantes de tu red, y también una de las más vulnerables si no está bien protegida.
Recientemente, se ha descubierto que muchas personas con routers D-Link antiguos están en riesgo, ya que estos dispositivos son atacados por botnets de malware como 'Ficora' y 'Capsaicin'. Estos programas maliciosos aprovechan fallos de seguridad en modelos populares, como el DIR-645, DIR-806 y GO-RT-AC750, para tomar el control del dispositivo usando exploits conocidos, como CVE-2015-2051 y CVE-2022-37056.
Cuando un router D-Link cae en manos de los atacantes, estos no pierden el tiempo. Usan las debilidades en la interfaz de administración (HNAP) para ejecutar comandos maliciosos a través de algo llamado "GetDeviceSettings". En pocas palabras, toman el control total del dispositivo.
Estas botnets no solo pueden robar datos, sino también ejecutar scripts y usarlos para ataques DDoS (esos que tumban páginas web o servicios en línea inundándolos de tráfico). Por ejemplo, la botnet 'Ficora' está bastante extendida, especialmente en Japón y Estados Unidos, mientras que 'Capsaicin' parece enfocarse más en países del este asiático. Eso sí, esta última solo mostró una actividad intensa durante dos días, empezando el 21 de octubre. ¡Pero vaya dos días!
Botnet Ficora
Ficora es básicamente una versión más reciente de la conocida botnet Mirai, pero esta vez diseñada específicamente para atacar dispositivos D-Link. ¿La idea? Aprovechar fallas conocidas en estos routers para infectarlos. Según datos de Fortinet, Ficora parece apuntar a objetivos aleatorios, pero lo curioso es que ha mostrado picos de actividad bastante significativos, especialmente en octubre y noviembre. Parece que esta botnet no se anda con rodeos cuando encuentra vulnerabilidades en dispositivos desprotegidos.
Ubicación de los dispositivos infectados por Ficora (Fuente: Fortinet)
Una vez que Ficora logra colarse en un router D-Link, empieza a trabajar con un script llamado 'multi', que básicamente se encarga de descargar y ejecutar el malware usando varias herramientas como wget, curl, ftpget y tftp. Esta botnet no deja ningún método sin probar.
Lo preocupante es que este malware viene con un sistema de fuerza bruta integrado, con credenciales preprogramadas, para infectar otros dispositivos Linux que se crucen en su camino. Y no solo eso, Ficora puede funcionar en varios tipos de hardware, lo que lo hace aún más peligroso.
¿Y qué hace con todo este poder? Lo utiliza para ataques DDoS brutales, incluyendo inundaciones UDP, TCP y amplificación DNS, lo que significa que puede saturar redes enteras y tumbar servicios con facilidad. Es como darle un megáfono a un hacker, pero en el peor de los sentidos.
Te podrá interesar leer: Descubriendo Grupos DDoS en Telegram: Amenazas y Herramientas
Botnet Capsaicin
Capsaicin es una variante de la botnet Kaiten y, según los expertos, es obra del grupo Keksec, conocido por crear malware como "EnemyBot" y otras amenazas dirigidas a dispositivos Linux. Pero lo interesante (y preocupante) de Capsaicin es cómo opera.
Fortinet detectó su actividad únicamente entre el 21 y el 22 de octubre, y parece que estuvo enfocada en países del este de Asia. ¿Cómo infecta dispositivos? Usa un script llamado "bins.sh" para descargar archivos maliciosos (que curiosamente llevan el prefijo “yakuza”) diseñados para funcionar en diferentes arquitecturas, como ARM, MIPS, SPARC y x86. En pocas palabras, no discrimina el tipo de dispositivo al que apunta.
Lo más curioso es que este malware no solo ataca, sino que también busca activamente otras botnets que estén operando en el mismo dispositivo... ¡y las desactiva! Es como si quisiera quedarse con el control total del equipo.
Al igual que Ficora, Capsaicin tiene habilidades para ataques DDoS, pero también puede recopilar información del dispositivo infectado y enviarla a su servidor de comando y control (C2), lo que permite a los atacantes seguir la pista de sus víctimas.
Comandos DDoS de Capsaicin (Fuente: Fortinet)
¿Cómo protegerte de las botnets?
Si no quieres que tu router o dispositivos IoT caigan en manos de una botnet, lo primero que tienes que hacer es asegurarte de que estén usando la última versión del firmware. Estas actualizaciones suelen corregir fallas de seguridad conocidas y son tu primera línea de defensa contra los hackers.
Ahora, si tu router ya es viejo y no recibe actualizaciones porque llegó al "fin de su vida útil", es momento de decirle adiós y considerar comprar uno nuevo. Sí, sabemos que no es lo más emocionante del mundo, pero es mejor eso que dejar tu red expuesta.
Otro paso esencial: cambia las contraseñas de administrador predeterminadas. Esas que vienen de fábrica son como una invitación abierta para los hackers. Usa contraseñas únicas, largas y seguras. Ah, y si no necesitas acceso remoto a tu router, desactiva esa función. Menos puertas abiertas, menos riesgos.