Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1026
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
agosto
(Total:
13
)
- Joven de 16 años logró hackear 90GB datos de Apple
- Descubren backdoor que activa Modo Dios en antiguo...
- FakesApp permite manipular mensajes enviados por W...
- Alertan nueva nueva campaña de phishing haciéndos...
- Acusado de robar más de 5 millones de dólares en B...
- Ejecución remota en múltiples impresoras HP
- Expuestos datos médicos de 2 millones de Méxicanos
- Nuevo método de ataque en redes Wifi WPA/WPA2 PSK ...
- Alertan de los peligros de utilizar un puerto USB ...
- 200 mil routers MikroTik infectados para minar Cri...
- 11 millones de usuarios espiados gracias a estas A...
- Incidente de seguridad en Reddit por utilizar 2FA ...
- Autor ransomware SamSam ha ganado casi 6 millones ...
-
▼
agosto
(Total:
13
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
91
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
200 mil routers MikroTik infectados para minar Criptomonedas
domingo, 5 de agosto de 2018
|
Publicado por
el-brujo
|
Editar entrada
Un grupo de investigadores de seguridad de SpiderLabs ha encontrado en
la red una nueva botnet, formada por más de 170.000 routers MikroTik,
que inyecta una serie de scripts de Coinhive para minar criptomonedas
utilizando los ordenadores y dispositivos de los usuarios conectados a
estos routers, lo que se conoce como Criptojacking .Según estos investigadores de seguridad, esta botnet se
inició, en unos 72.000 routers en Brasil, aunque en muy poco tiempo
empezó a infectar dispositivos de todo el mundo hasta superar la cifra de los 170.000 routers MikroTik comprometidos, cifra que, además, sigue creciendo. MikroTik RouterOS es vulnerable en el puerto Winbox en las versiones RouterOS desde la 6.29 (release date: 2015/28/05) hasta 6.42 (release date 2018/04/20)
El primero en avistar los ataques ha sido un investigador brasileño que corresponde al nombre de MalwareHunterBR en Twitter, pero la campaña se expandía de forma rápida infectando más routers cada vez, la cual llamó la atención de Simon Kenin, un investigador de seguridad de la división SpiderLabs de la empresa Trustwave.
Kenin dijo que el atacante está usando un 0-Day en el componente Winbox de los routers Mikrotik que se descubrió en abril. Mikrotik parcheo este exploit en menos de un día (RouterOS v6.42.1 y v6.43rc4), pero esto no quiere decir que la mayoría de propietarios de dichos routers hayan aplicado el parche.
Sin embargo, el 0-Day fue diseccionado por varios investigadores de seguridad, y múltiples pruebas de concepto públicas han aparecido en GitHub [1, 2] para versiones 6.29 (2015/28/05) a 6.42 (2018/04/20). El binario mproxy es el afectado.
De acuerdo con Kenin, el atacante ha usado uno de esos PoC para alterar el tráfico que pasaba por los routers Mikrotik e inyectan una copia del minero Coinhive dentro de todas las páginas servidas por el propio router.
Una sencilla búsqueda en Shodan nos revela que hay sobre 1.7 millones de routers Mikrotik disponibles online.
Tiempo después, se ha descubierto que una segunda clave de Coinhive estaba siendo inyectada en el tráfico de los routers Mikrotik. Esta segunda campaña ha afectado alrededor de 25.000 routers, (billetera oDcuakJy9iKIQhnaZRpy9tEsYiF2PUx4) llevando el total de routers infectados a 200.000, ya que la primera clave está siendo usada en 175.000 routers infectados (billetera hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3). No se sabe a ciencia cierta si esta segunda campaña está siendo llevada a cabo por otro cracker, o por el mismo autor de la primera clave después de que Trustwave expusiera su primera operación.
Según un informe, solo un 14% de los encuestados han actualizado alguna vez el firmware de su router. Además, un 82% nunca ha cambiado la contraseña de acceso al router, la que viene de forma predeterminada de fábrica. Si hablamos de la contraseña del Wi-Fi, algo que a priori sí preocupa algo más a los usuarios, únicamente el 31% de los encuestados había cambiado en alguna ocasión la que venía de fábrica. Y solo un 30% entró alguna vez en el panel de control para ver qué dispositivos hay conectados.
Fuentes:
https://www.redeszone.net/2018/08/02/routers-mikrotik-botnet-minar-monedas/
https://blog.segu-info.com.ar/2018/08/campana-masiva-de-criptojacking-mas-de.html
Campaña masiva de Criptojacking a más de 200.000 routers Mikrotik
Investigadores de seguridad de Trustwave han descubierto una campaña masiva que tiene como objetivo a routers Mikrotik, en los cuales cambian su configuración para inyectar una copia del minero Coinhive en algunas partes del trafico web de los usuarios.El primero en avistar los ataques ha sido un investigador brasileño que corresponde al nombre de MalwareHunterBR en Twitter, pero la campaña se expandía de forma rápida infectando más routers cada vez, la cual llamó la atención de Simon Kenin, un investigador de seguridad de la división SpiderLabs de la empresa Trustwave.
Kenin dijo que el atacante está usando un 0-Day en el componente Winbox de los routers Mikrotik que se descubrió en abril. Mikrotik parcheo este exploit en menos de un día (RouterOS v6.42.1 y v6.43rc4), pero esto no quiere decir que la mayoría de propietarios de dichos routers hayan aplicado el parche.
Sin embargo, el 0-Day fue diseccionado por varios investigadores de seguridad, y múltiples pruebas de concepto públicas han aparecido en GitHub [1, 2] para versiones 6.29 (2015/28/05) a 6.42 (2018/04/20). El binario mproxy es el afectado.
De acuerdo con Kenin, el atacante ha usado uno de esos PoC para alterar el tráfico que pasaba por los routers Mikrotik e inyectan una copia del minero Coinhive dentro de todas las páginas servidas por el propio router.
Una sencilla búsqueda en Shodan nos revela que hay sobre 1.7 millones de routers Mikrotik disponibles online.
Tiempo después, se ha descubierto que una segunda clave de Coinhive estaba siendo inyectada en el tráfico de los routers Mikrotik. Esta segunda campaña ha afectado alrededor de 25.000 routers, (billetera oDcuakJy9iKIQhnaZRpy9tEsYiF2PUx4) llevando el total de routers infectados a 200.000, ya que la primera clave está siendo usada en 175.000 routers infectados (billetera hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3). No se sabe a ciencia cierta si esta segunda campaña está siendo llevada a cabo por otro cracker, o por el mismo autor de la primera clave después de que Trustwave expusiera su primera operación.
Muy pocos usuarios actualizan el firmware del router
Según un informe, solo un 14% de los encuestados han actualizado alguna vez el firmware de su router. Además, un 82% nunca ha cambiado la contraseña de acceso al router, la que viene de forma predeterminada de fábrica. Si hablamos de la contraseña del Wi-Fi, algo que a priori sí preocupa algo más a los usuarios, únicamente el 31% de los encuestados había cambiado en alguna ocasión la que venía de fábrica. Y solo un 30% entró alguna vez en el panel de control para ver qué dispositivos hay conectados.
Medidas de seguridad básicas en un router
Se recomienda:- Deshabilitar la administración remota (Disable Remote Administration). La administración remota suele estar deshabilitada por defecto.
- Cambiar las contraseñas por defecto (acceso al router, Wifi, etc)
- Desactivar servicios que no utilicemos (especialmente servicios accesibles remotamente desde WAN (Internet)
- Utilizar el último firmware disponible (o al menos no usar versiones vulnerables)
Fuentes:
https://www.redeszone.net/2018/08/02/routers-mikrotik-botnet-minar-monedas/
https://blog.segu-info.com.ar/2018/08/campana-masiva-de-criptojacking-mas-de.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
0-day
,
bitcoin
,
Criptojacking
,
Criptomonedas
,
firmware
,
MikroTik
,
mproxy
,
RouterOS
,
winbox
1 comentarios :
Hola,
En el documento https://n0p.me/winbox-bug-dissection/
se indica que la vulnerabilidad del puerto Winbox que aprovecha la infección se resolvió en las versiones 6.42.1 y 6.43rc4 del 23 de abril de 2018.
Destaco que ambas versiones pertenecen a dos ramas de desarrollo diferentes: la estándar y la RC (release candidate). Lo comento porque el rango de versiones indicado en el primer párrafo puede llevar a confusión.
Así pues, actualizando a una versión de software igual o superior a la 6.42.1 o a la 6.43rc4 (dependiendo de la rama utilizada) el router queda protegido.
Un saludo.
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.