Los enrutadores vulnerables de MikroTik se han utilizado indebidamente para formar lo que los investigadores de seguridad cibernética han llamado una de las operaciones de ciberdelincuencia de botnet como servicio más grandes vistas en los últimos años.
Según una nueva investigación publicada por Avast, una campaña de minería de criptomonedas que aprovecha la botnet Glupteba recientemente interrumpida, así como el infame malware TrickBot, se distribuyeron utilizando el mismo servidor de comando y control (C2).
“El servidor C2 sirve como una botnet como servicio que controla casi 230 000 enrutadores MikroTik vulnerables”, dijo Martin Hron, investigador sénior de malware de Avast. dijo en un artículo, potencialmente vinculándolo a lo que ahora se llama la botnet Mēris.
Se sabe que la botnet explota una vulnerabilidad conocida en el componente Winbox de los enrutadores MikroTik (CVE-2018-14847), lo que permite a los atacantes obtener acceso administrativo remoto no autenticado a cualquier dispositivo afectado. Partes de la botnet Mēris fueron hundido a finales de septiembre 2021.
“La vulnerabilidad CVE-2018-14847, que se publicó en 2018, y para la cual MikroTik emitió una solución, permitió a los ciberdelincuentes detrás de esta botnet esclavizar a todos estos enrutadores y presumiblemente alquilarlos como un servicio”, dijo Hron. .
En la cadena de ataque observada por Avast en julio de 2021, los enrutadores MikroTik vulnerables fueron atacados para recuperar la carga útil de la primera etapa de un dominio llamado bestony[.]club, que luego se usó para obtener scripts adicionales de un segundo dominio “globalmoby[.]xyz”.
Bastante interesante, ambos dominios estaban vinculados a la misma dirección IP: 116.202.93[.]14, lo que llevó al descubrimiento de siete dominios más que se usaron activamente en ataques, uno de los cuales (tik.anyget[.]ru) se usó para enviar muestras de malware Glupteba a hosts específicos.
“Al solicitar la URL https://tik.anyget[.]ru Fui redirigido al dominio https://routers.rip/site/login (que nuevamente está oculto por el proxy de Cloudflare)”, dijo Hron. “Este es un panel de control para la orquestación de enrutadores MikroTik esclavizados”, con el página que muestra un contador en vivo de los dispositivos conectados a la botnet.
Pero después de que los detalles de la botnet Mēris entraran en el dominio público a principios de septiembre de 2021, se dice que el servidor C2 dejó de servir scripts abruptamente antes de desaparecer por completo.
La divulgación también coincide con un nuevo informe de Microsoft, que reveló cómo el malware TrickBot ha armado los enrutadores MikroTik como servidores proxy para las comunicaciones de comando y control con los servidores remotos, lo que plantea la posibilidad de que los operadores hayan usado la misma red de bots. un servicio.
A la luz de estos ataques, se recomienda que los usuarios actualicen sus enrutadores con los parches de seguridad más recientes, establezcan una contraseña segura para el enrutador y deshabiliten la interfaz de administración del enrutador desde el lado público.
“También muestra, lo que es bastante obvio desde hace algún tiempo, que los dispositivos IoT están siendo fuertemente atacados no solo para ejecutar malware en ellos, que es difícil de escribir y propagar masivamente considerando todas las diferentes arquitecturas y versiones del sistema operativo, sino simplemente para usar sus capacidades legales e integradas para configurarlos como apoderados”, dijo Hron. “Esto se hace para anonimizar los rastros del atacante o para servir como una herramienta de amplificación de DDoS”.