Actualizado el 24/07 a las 20hs con la solución temporal del problema.
En las últimas horas hemos recibido decenas de
denuncias de usuarios de Arnet (Argentina) que no logran conectarse a Internet y que reciben el
mensaje de
"Su Internet está parcialmente bloqueada" cada vez que desean ingresar a un sitio web.
Como se puede ver, el bloqueo solicita el pago de U$S150 a través de
Bitcoin para realizar el desbloqueo. Lo primero que se debe hace es
NO se debe pagar.
El bloqueo se realiza independientemente del dispositivo y/o sistema
operativo utilizado (sucede lo mismo en Windows, Linux, iOS o Android)
por lo que inicialmente es de suponer que no se trata de un malware tipo
ransomware, como
supusimos al principio en nuestro Foro.
Aquí están los mismos problemas relacionados en una búsqueda en
Internet.
Luego de recibir correos y
Twits a @SeguInfo de varios afectados, todos coincidían en que el problema parecía generarse sólo en clientes de Arnet con un Modem ADSL modelos
"Zyxel P-660HW-T1" y
"Zyxel "P-660HNU-TX".
Adicionalmente muchos usuarios mencionan que el problema se
soluciona temporalmente cambiando los DNS por defecto a los de
Google (8.8.8.8 y 8.8.4.4), a los de
OpenDNS (208.67.222.222 y 208.67.220.220) a los de cualquier otra compañia. El problema reaparece luego de un corto lapso de tiempo.
Al parecer (no está confirmado) el bloqueo se origina luego de explotada una
vulnerabilidad de Cross-site Request Forgery (CSRF)
en los modems mencionados, pública desde mayo pasado y todavía sin
solución por parte de la empresa Zyxel. Es de suponer que los afectados
seguirán apareciendo, a medida que quien lo esté explotando vaya ganando
mayor cantidad de accesos (y Arnet no detenga el ataque).
Desde
Segu-Info recomendamos
NO pagar el rescate y
contactar a
Arnet
para que mitigue el problema hasta que la vulnerabilidad sea
solucionada completamente o bien que cambie el modem a todos los
clientes. Por otro lado recomendamos revisar y cambiar, en lo posible,
las configuraciones por defecto del modem, hasta que haya más
información al respecto. Es importante también considerar la posibilidad
de no utilizar el modem Wifi brindado por Arnet (o cualquier otra
compañia) para conectar todos los dispositivos del hogar a Internet,
agregando un Router Wifi para las conexiones internas y hacia
Internet.
Actualización 21:00: confirmado que las vulnerabilidades se encuentran los modems ADSL modelos
"Zyxel P-660HW-T1" y
"Zyxel "P-660HNU-TX" vertical y en la versión 3
utilizados por Arnet.
Por ahora Arnet no se ha pronunciado públicamente sobre el tema.
Actualización 21:30: Arnet confirmó el problema y
Banchiero nos informa
que en la "opción 11" de la configuración del modem es posible ver las
conexiones entrantes y salientes. Aquí se puede consultar el
manual.
Actualización 22:00: mientras tanto, los usuarios afectados pueden reiniciar al modem y cambiar los DNS por defecto a los mencionados más arriba y
realizar una renovación de la cache de DNS (DNSFlush) de la siguiente manera:
Windows:
ipconfig /flushdns
Linux:
sudo /etc/rc.d/init.d/nscd restart
Mac:
sudo killall -HUP mDNSResponder
Android:
http://fandroides.com/como-cambiar-automaticamente-los-dns-en-android/
iOS/iPhone/iPad:
http://www.macinstruct.com/node/558
Actualización 23/07 13:00: finalmente se ha confirmado que se trata de un ataque DNS Cache Poisoning a los servidores DNS de Arnet y mediante el cual se ha explotado la vulnerabilidad mencionada en los modelos de Modem Zyxel. Mediante la creación de un servicio HTTP, se redirige al usuario a la página del rescate que se muestra.
Por ahora
la página sólo parece pedir el rescate por dinero, pero se podría
realizar cualquier otro tipo de ataque más activo, incluyendo
redirección de usuarios, descarga de malware, robo de información, etc.
Actualización 23/07 22:00: al parecer Arnet ha soluciondo el problema y recomiendan reiniciar el modem para que todo vuelva a la normalidad.
Actualización 24/07 16:00: según informan varios usuarios, el
problema continua y la empresa Arnet está trabajando en el caso
activamente, por ahora con soluciones parciales.
Actualización 24/07 18:00: varias fuentes confirman que el ataque al modem modifica el
Primary DNS Server y/o
Secundary DNS Server a la IP
46.244.XX.19.
Actualización 24/07 20:00: alguien de Arnet (que ha solicitado
anonimato) ha tenido la amabilidad de facilitarnos una solución
temporal, por lo menos hasta que la empresa haga oficial el problema y
decida proceder de acuerdo a lo que corresponde para proteger de forma
adecuada a sus usuarios.
Nota: Segu-Info no se responsabiliza de este tutorial y de las consecuencias que el mismo pueda generar en la conexión del cliente.
- Antes se debe resetear el módem. En el orificio que esta en la parte
superior introducir un escarbadientes y presionar el botón interno al
menos 10 segundos, esperar a que el modem conecte.
- Abrir el navegador e ingresar a http://192.168.1.1/admin.html (cambiar la IP en caso de ser necesario).
- User name: admin (en minúsculas)
- Password: CalVxePV1! (respetar mayúsculas)
- Seleccionar Go to Advanced Setup, luego Apply. Aparece la gestión del modem como Administrador.
- En el menú de la izquierda seleccionamos Network y luego WAN. Verificar quen en la tercera opción del menú DNS Server este marcada la opción "Obtained from ISP" tanto en "Primary DNS" como en "Secundary DNS". En el caso de realizar algún cambio, seleccionar Apply.
- Seleccionar Network y luego LAN. Seleccionar la solapa DHCP Server y en la opción de Primary DNS Server y Secundary DNS Server deben colocarse el valor "0.0.0.0". Si figuran valores distintos, (como por ej. 46.244.XX.19) significa que el ataque modificó la IP de los DNS Server. Corregir y seleccionar Apply.
- Seleccionamos Security y luego Firewall: Activamos el Firewall a nivel Medium. Al parecer al activar al Firewall, el ataque no se vuelve a producir.
- Presionamos Apply y luego Logout arriba a la derecha. Reiniciamos el modem nuevamente desde el botón.
- Si todo salió bien no debería presentarse el problema nuevamente.
Cristian de la Redacción de Segu-Info