Hace apenas dos días que se descubrió que el malware Mirai que había estado esclavizando dispositivos IoT mal protegidos, había encontrado casi 1 millón de víctimas en Alemania. Diversos router de Internet de la compañía Deutsche Telekom se vieron afectados causando problemas de conexión a Internet a cerca de un millón de clientes de la operadora. En esta ocasión, Deutsche Telekom culpó al malware de la interrupción, el cual habría infectado los dispositivos conectados a Internet, incluyendo cámaras de vigilancia y DVR.



Dado que e el exploit es público, urge actualizar y protegerse de estos ataques ya que otros piratas informáticos podrían comenzar una campaña similar, tanto en el propio país germano como en otros países en todo el mundo. De igual forma, los expertos temen que en los próximos días estos u otros piratas ataquen otros modelos diferentes de routers, pudiendo llegar a dejar sin servicio a un número mucho mayor de usuarios. Mientras se solucionan todos los problemas causados por este ataque informático, Deutsche Telekom está ofreciendo a todos sus clientes Internet móvil gratis, una buena compensación que, al menos, no dejará tirados a los usuarios afectados.

• https://www.telekom.com/en/media/media-information/archive/information-on-current-problems-444862
• https://www.telekom.com/en/media/media-information/archive/13-answers-to-attack-on-routers-445148 

Según parece, este ataque informático ha podido tener lugar porque los routers distribuidos por esta compañía, especialmente de la marca Speedport, tenían el puerto 7547 abierto y a la escucha de recibir comandos basados en los protocolos TR-069 y TR-064.

• https://isc.sans.edu/diary/21759
• https://www.flashpoint-intel.com/new-mirai-variant-involved-latest-deutsche-telekom-outage/
• https://securelist.com/blog/incidents/76791/new-wave-of-mirai-attacking-home-routers/

Port 7547 SOAP Remote Code Execution Attack Against DSL Modems

• https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759/

Aunque la investigación sigue en el aire, por el momento se sabe que los modelos que se han visto afectados son:

• Speedport W 921V
• Speedport W 723V Tipo B
• Eir D1000

Bontet Mirai: 5 millones de dispostivos vulnerables, especialmente en Alemina, Reino Unido y Brasil

La botnet Mirai, botnet conocida por ser la responsable de bloquear medio Internet al atacar el mes pasado a DynDns.

Pues bien, ahora se sabe que la nueva cepa del malware Mirai ha ido mucho más allá, afectando a los router de otros países de Reino Unido, Brasil, Irán y Tailandia, entre otros. Investigadores de la firma de seguridad Flashpoint estiman que se habría extendido a otros 10 países más. Todavía no está claro cuántos dispositivos en total se han visto infectados, pero la compañía calcula que hasta cinco millones de dispositivos son vulnerables. De hecho, si estos dispositivos vulnerables se ven comprometidos, podrían añadir muchos más alcanzando ya una botnet.

Las alarmas saltaron en Alemania el pasado lunes cuando Deutsche Telekom informó que cerca de un millón de clientes experimentaron problemas de conexión a Internet. Aunque Deutsche Telekom ha ofrecido una actualización de software para detener el malware, los expertos en seguridad temen que los hackers continúen actualizando el código fuente de Mirai para infectar dispositivos adicionales que puedan estar conectados al router en los hogares.

La versión original de Mirai comenzó a sonar el pasado mes cuando logró dominar y someter a diversos dispositivos IoT con triviales medidas de seguridad. Esta nueva cepa, como ha podido comprobarse, fue capaz de infectar a los routers de la empresa Zyxel, utilizando un fallo de seguridad que se aprovecha del protocolo SOAP (Simple Object Access Protocol).

El objetivo de Mirai no es otro que el de lograr formar una botnet numerosa, todo un ejército de dispositivos sometidos que son utilizados para lanzar ataques masivos de denegación de servicio que pueden llegar a colapsar servidores y servicios web. Ya a finales de octubre, las botnets de Mirai fueron las causantes de interrumpir el acceso a varias páginas web y servidores de Estados Unidos, alterando el tráfico de manera preocupante.

La compañía Flashpoint informa que ya se ha localizado esta nueva variedad de Mirai que es capaz de crear una botnet para lanzar ataques DDoS a pequeña escala en una dirección IP en continentes como África y a un proveedor de alojamiento en la nube. Los ataques sucedieron también esta misma semana. Los hackers han estado explotando el malware Mirai desde que su código fuente fue lanzado en un foro a finales de septiembre.

Sin embargo, la propagación de la nueva cepa Mirai parece estar disminuyendo, según Craig Young, un investigador de seguridad en Tripwire. El pasado lunes, el investigador estimó que el malware intentó infectar los dispositivos a una velocidad de 90 segundos por cada dispositivo. Al día siguiente, la tasa se había logrado frenar a algo más de seis minutos.

Young destaca que el ataque de Deutsche Telekom es en cierto sentido un fracaso. Los hackers probablemente nunca intentaron interrumpir las conexiones de Internet de los clientes de Deutsche Telekom, sino simplemente infectar los routers para hacer crecer la botnet, pero pasando desapercibido y sin despertar hacer saltar las alarmas.

La forma en que la cepa Mirai se hizo cargo de los routers llamó demasiado la atención, lo que provocó que la compañía alemana emitiera rápidamente un parche de seguridad. “El malware puede haber sido demasiado exigente con los routers, sobrecargándolos e impidiendo que puedan operar y dar conectividad”, destaca Young.

Es de esperar que los ciberdelincuentes sigan actualizando Mirai, modificando el código. También la gente incorporará más exploits relacionados con los router.

Fuentes:
http://opensources.info/la-nueva-cepa-de-la-039botnet039-mirai-se-extiende-a-otros-paiacuteses/
http://www.redeszone.net/2016/11/29/casi-millon-routers-alemania-quedan-sin-servicio-ataque-ddos/