Cisco ha detectado una nueva botnet de más de 500.000 routers y dispositivos de almacenamiento conectados en red (NAS) infectadas en 54 países diferentes. La actividad principal que ha tenido la botnet han sido ataques DDoS, aunque sus funcionalidades comprenden también la recolección de datos. El FBI ha tomado el control de la misma y piden resetear todos los routers por motivos de seguridad.
Recursos afectados
El principal objetivo son routers domésticos y dispositivos de almacenamiento NAS.
La botnet afecta a los siguientes dispositivos:
• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Other QNAP NAS devices running QTS software
• TP-Link R600VPN.
Solución
La botnet ya ha sido controlada por el gobierno de EEUU y no supone ningún peligro, pero se recomienda tomar una serie de medidas para evitar una nueva infección similar:
• Los usuarios de los routers y/o dispositivos de almacenaciento NAS deben restablecer los valores predeterminados de fábrica y reiniciarlos con el fin eliminar el malware potencialmente destructivo. En caso de duda consultar con el proveedor.
• Los proveedores de servicios de Internet que proporcionan routers a sus usuarios deben reiniciarlos en nombre de sus clientes.
• Si tienes alguno de los dispositivos afectados por esta amenaza, es importante que contactes con el fabricante para asegurarte de que tu dispositivo esté actualizado con las últimas versiones de los parches. De lo contrario, deberás aplicarlos de inmediato.
Detalles
Este malware utiliza técnicas más sofisticadas que la mayoría de las botnets. El proceso de infección se realiza de forma persistente con el fin de evitar ser borrado cuando se reinicia el dispositivo afectado.
A continuación, el malware ordena al dispositivo descargar un fichero con el fin de ejecutar comandos, obtener ficheros e información personal o incluso inhabilitar el dispositivo.
Referencias
Qué es una botnet o una red zombi de ordenadores
¿Últimamente has notado que tu ordenador va más lento de lo normal, el ventilador hace mucho ruido aún cuando no lo estás utilizando y algunas aplicaciones han dejado de funcionar correctamente? Estos síntomas podrían ser debidos a que tu ordenador se ha convertido en un pc “zombi”. ¿Eso qué significa? Que hay alguien, aparte de ti, que está controlando tu ordenador sin que seas consciente de ello.
Pero, ¿cómo tu ordenador se ha convertido en un zombi? Se ha infectado con un tipo de virus capaz de controlar tu ordenador de forma remota. Esto quiere decir que alguien, sin estar físicamente delante de tu ordenador, y con los conocimientos técnicos suficientes, puede manejarlo a su antojo. Pero eso no es todo, si tu ordenador es un zombi, estará formando parte de una red zombi de ordenadores, más conocido por el término anglosajón botnet, que no es más que un gran número de ordenadores zombi, infectados con el mismo tipo de virus, que están controlados por una misma persona u organización criminal.
¿Por qué quieren que tu ordenador pertenezca a una botnet?
Principalmente para llevar a cabo actividades que les generen unos beneficios económicos. Hay personas muy interesadas en comprar estas botnets para:
- Capturar contraseñas y datos personales. Recopilan las contraseñas de los servicios de banca, redes sociales, correo web (Gmail, Outlook, etc.) que utilizan los usuarios del ordenador infectado para después venderlas en la “deep web”, el mercado negro de Internet.
- Enviar spam y propagar virus. Los ordenadores zombis pueden estar organizados para enviar correo basura(Botnet kelihos), spam, a miles de direcciones de correo que han sido recopilas previamente de e-mails en cadenas y bulos, por ejemplo. Estos correos spam, pueden adjuntar ficheros que descargan virus en el ordenador del usuario al abrirlos o incluir enlaces a páginas que suplantan la identidad de servicios (phishing), descargan otros virus en el ordenador, instalan toolbars no deseados en el navegador, etc.
- Hacer que una página web deje de estar disponible. El ciberdelincuente que tenga el control de la botnet, indicará a todos sus zombis que accedan a la vez a una determinada página web para saturarla y provocar que deje de funcionar correctamente con el objetivo de chantajear al propietario o empresa responsable de la misma.
- Manipular encuestas y abusar de los servicios de pago por publicidad. Los ordenadores zombis también pueden ser utilizados para manipular encuestas o pinchar en banners publicitarios que generan beneficios económicos a los “malos”.
- Llevar a cabo desde tu ordenador otro tipo de fraudes. Acceder a páginas web cuyo contenido es denunciable o ilegal: pedofilia, prostitución, drogas, armas, etc. Almacenar y compartir ficheros con copyright, suplantar tu identidad para publicar anuncios falsos, etc. ¡Cualquier otra cosa que se te ocurra!
¿Cómo puedes evitar que tu ordenador acabe en una botnet?
Te recomendamos que mantengas actualizado el sistema operativo y todos los programas instalados en él, protejas el ordenador con alguna herramienta de seguridad como antivirus y tengas unos buenos hábitos de uso. ¡Ah! Y aplicando el sentido común: no instalando nada que no hayas elegido, no pulsando enlaces de e-mails cuyo remitente desconoces, desconfiando de los chollos que te anuncian por Internet, etc.
Referencia: Oficina de Seguridad del Internauta