Hoy, el investigador senior de malware de Avast, Martin Hron, ha publicado sus hallazgos en torno a su descubrimiento de una de las mayores operaciones de cibercrimen de botnet-as-a-service vistas en los últimos años.
Esta investigación revela que tanto una campaña de malware de minería de criptomonedas de la que Avast informó en 2018, como el malware Glupteba, importantes ataques DDoS dirigidos a varias empresas en Rusia, incluyendo Yandex, así como en Nueva Zelanda, y los Estados Unidos, y presumiblemente también el malware TrickBot, fueron distribuidos por el mismo servidor C2.
Martin Hron obtuvo acceso a un panel de control y cree firmemente que el servidor C2 sirve como una botnet-as-a-service que controla casi 230.000 routers MikroTik vulnerables, y puede ser la botnet Meris que QRator Labs describió en su entrada de blog, que facilitó los ataques DDoS antes mencionados.
Las credenciales por defecto, así como varias vulnerabilidades, pero sobre todo la vulnerabilidad CVE-2018-14847, que se hizo pública en 2018, y para la que MikroTik emitió una corrección, permitieron a los ciberdelincuentes detrás de esta botnet esclavizar todos estos routers, y presumiblemente alquilarlos como servicio.
Según Shodan.io, el mayor número de routers MikroTik con el puerto crítico 8921 abierto se encuentra en Brasil (266k), Rusia (180k), Estados Unidos (146k), Italia (83k) e Indonesia (69k). Los propietarios de estos routers están apoyando (sin saberlo) estas actividades delictivas. Avast recomienda a los usuarios que actualicen sus routers con los últimos parches de seguridad, que establezcan una contraseña segura para el router, que deshabiliten la interfaz de administración del router desde el lado público y que ayuden a otras personas que no sean tan expertas en tecnología.
El análisis y las conclusiones de Martin se pueden encontrar en el blog Avast Decoded aquí: https://decoded.avast.io/martinhron/meris-and-trickbot-standing-on-the-shoulders-of-giants/
Si os resulta interesante y os gustaría conocer más información, no dudéis en poneros en contacto con nosotros
. Leer artículo completo en Frikipandi Hallazgos sobre una de las mayores operaciones de cibercrimen de botnet-as-a-service vistas en los últimos años.