Diferentes
tipo de routers
hogareños están siendo objetivo de los
ciberdelincuentes, debido a distintas vulnerabilidades y/o que a menudo
son instalados con credenciales de administrador por defecto.
Un
informe de Incapsula
sugiere que los delincuentes están creando botnets con decenas de miles
de routers
hogareños y de pequeñas empresas basados para lanzar ataques
distribuidos de denegación de servicio (DDoS).
Los investigadores de descubrieron una botnet basada en routers mientras
investigaban una serie de ataques DDoS contra sus clientes. Se calcula
que esta
botnet ha estado en funcionamiento desde al menos diciembre de
2014. En los últimos cuatro meses, los investigadores han registrado
tráfico malicioso dirigida a 60 de sus clientes, lo cuales provenían de
40.269 direcciones IP pertenecientes a 1.600 ISPs alrededor del mundo.
Casi todos los routers infectadoss que formaban parte de la
botnet parecen ser de modelos de la empresa
Ubiquiti Networks. Originalmente, los investigadores creyeron que los delincuentes estaban explotando una vulnerabilidad en el
firmware
de estos
routers pero en realidad luego confirmaron que todos los
dispositivos comprometidos eran accesibles remotamente a través de los
puertos por defecto (vía HTTP y SSH) y con las credenciales
suministradas por el proveedor.
"Incluso mientras llevamos a cabo nuestra investigación, el equipo de
seguridad de Incapsula documentó numerosos nuevos tipos de malware que
se instalan, agravando la amenaza planteada por la existencia de estos
dispositivos y de la botnet".
La empresa descubrió una variedad de programas de malware de DDoS,
incluyendo MrBlack, Dofloo y Mayday, instalados en los dispositivos
inseguros y encontraron algunas pruebas indirectas de que la botnet
podría pertener al grupo
Lizard Squad,
el mismo grupo que ha utilizado esta técnica para lanzar ataques DDoS
contra las redes de PlayStation de Sony y Xbox de Microsoft en diciembre
pasado.
La botnet comprende dispositivos en 109 países, Tailandia (64 por
ciento), Brasil y los Estados Unidos como las tres naciones más
afectadas. Además, la empresa identificó 60 servidores de comando y
control utilizados por los criminales para el control de la botnet, la
mayoría de ellos localizados en China y Estados Unidos.