Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Crecen los ataques a routers domésticos para formar BotNets


Trend Micro Incorporated ha publicado una nueva investigación en la que se advierte a los consumidores de una nueva e importante oleada de ataques que intentan comprometer los routers domésticos para su uso en botnets de IoT. En el informe se insta a los usuarios a que tomen medidas para impedir que sus dispositivos permitan esta actividad delictiva.






Recientemente se ha producido un pico en los ataques dirigidos a los routers y su aprovechamiento, en particular en torno al cuarto trimestre de 2019. Esta investigación indica que continuará el aumento del abuso de estos dispositivos, ya que los atacantes pueden monetizar fácilmente estas infecciones en ataques secundarios.

«Con una gran mayoría de la población que actualmente depende de las redes domésticas para su trabajo y estudios, lo que le ocurre a su router nunca ha sido tan importante», apunta Jon Clay, director de comunicaciones globales de Trend Micro. «Los ciberdelincuentes saben que la gran mayoría de los routers domésticos son inseguros ya que tienen las credenciales predeterminadas por defecto y han aumentado los ataques a escala masiva».



La investigación de Trend Micro reveló un aumento a partir de octubre de 2019 de los intentos de inicio de sesión de fuerza bruta contra los routers, en los que los atacantes utilizan software automatizado para probar combinaciones de contraseñas comunes. El número de intentos se multiplicó casi por diez, pasando de unos 23 millones en septiembre a casi 249 millones de intentos en diciembre de 2019. Recientemente, en marzo de 2020, Trend Micro registró casi 194 millones de inicios de sesión de fuerza bruta.

Otro indicador de que la escala de esta amenaza ha aumentado son los dispositivos que intentan abrir sesiones de telnet con otros dispositivos IoT. Debido a que el telnet no está cifrado, los atacantes, o sus botnets, lo prefieren como una forma de sondear las credenciales de los usuarios. En su punto álgido, a mediados de marzo de 2020, casi 16.000 dispositivos intentaron abrir sesiones de telnet con otros dispositivos IoT en una sola semana.

Para el usuario doméstico, un router comprometido es probable que sufra problemas de rendimiento. Si posteriormente se lanzan ataques desde ese dispositivo, su dirección IP también puede figurar en una lista negra, lo que posiblemente los implique en actividades delictivas y les impida acceder a partes clave de Internet, e incluso a redes corporativas.

Trend Micro hace las siguientes recomendaciones para los usuarios domésticos:

  • Asegúrate de utilizar una contraseña segura. Cámbiala de vez en cuando.
  • Asegúrate de que el router esté ejecutando el último firmware.
  • Revisa los registros para encontrar comportamientos que no tienen sentido para la red.
  • Permitir solo los inicios de sesión del router desde la red local.

Tres tipos de Botnets más utilizados

  • Mirai
  • Kaiten (Tsunami)
  • Qbot





Caso de Estudio: JenX – Los Calvos de San Calvicie

Un ejemplo de cómo los atacantes usaron una pieza de malware de botnet de IoT llamada JenX para infectar routers en su propio beneficio. Nos pareció notable que los atacantes no parecieran tener un alto conocimiento técnico en la realización de su campaña, en función del uso de herramientas listas para usar y en foros de discusión del grupo. Este caso ayuda a ilustrar el tipo de personas que están en esta competencia para infectar routers. Los atacantes en este estudio de caso pueden considerarse "soldados" en esta guerra territorial.


Grand Theft Auto: San Andreas


JenX se usó contra la comunidad española de juegos de la popular serie de videojuegos de acción y aventuras Grand Theft Auto (GTA). Se basa en los códigos Masuta y Brickerbot.21 Que JenX y Masuta, que se cree que es una modificación de Mirai, 22 están vinculados, se sugiere por la aparición de la cadena bastante objetable "Dios, esa familia china en la otra mesa, seguro comió mucho "


El servidor de C&C para JenX estaba alojado en el sitio web principal de un grupo llamado San Calvicie, ubicado en sancalvicie. Com. El sitio web también proporcionó servidores mod GTA multijugador y servicios DDoS con un ancho de banda garantizado de 290 a 300 Gbps a una tasa mínima de US $ 20.23


Una botnet comenzó a reclutar dispositivos IoT. La botnet utiliza servidores alojados para encontrar e infectar a nuevas víctimas, aprovechando una de las dos vulnerabilidades conocidas que se han vuelto populares en las botnets de IoT recientemente:

JenX explota dos vulnerabilidades conocidas:



  • CVE-2014-8361 vulnerabilidad "Realtek SDK Miniigd UPnP SOAP Command Execution" y vulnerabilidad relacionada. Realtek software development kit (SDK) Miniigd UPnP (Universal Plug and Play) SOAP (Simple Object Access Protocol) ejecución de comandos (CVE-2014-8361)
  • CVE-2017–17215 Vulnerabilidad “Huawei Router HG532 - Ejecución arbitraria de comandos” y explotación relacionada. Huawei Router HG532 ejecución de comandos arbitrarios (CVE-2017- 17215) .25 Si bien estas son vulnerabilidades antiguas, la naturaleza no parcheada de muchos enrutadores significa que aún podrían explotarse con éxito.


Ambos vectores de exploits son conocidos de la botnet Satori y se basan en el código que fue parte de una publicación pública reciente de Pastebin por el "Janit0r", autor de "BrickerBot".




El malware también utiliza técnicas similares a las que se vieron en el recientemente descubierto PureMasuta, que recientemente publicó su código fuente en un foro oscuro solo por invitación.

La investigación nos llevó a un servidor C2 alojado bajo el dominio ‘sancalvicie.com’ del cual el sitio proporciona servidores mod de GTA San Andreas Multi-Player con servicios DDoS a un lado.

 A continuación se muestra una captura de pantalla de los servicios con los detalles:



La opción SAMP proporciona un servicio de juego multijugador para GTA San Andreas y menciona explícitamente la protección contra Source Engine Query y otras inundaciones DDoS.

La opción "Corriente Divina" se describe como "la ira de Dios se empleará contra la propiedad intelectual que nos proporcione". Proporciona un servicio DDoS con un ancho de banda garantizado de 90-100 Gbps y vectores de ataque que incluyen Valve Source Engine Query e inundaciones de 32 bytes, scripts TS3 y una opción "Down OVH" que probablemente se refiere a ataques dirigidos al servicio de alojamiento de OVH, un alojamiento en la nube proveedor que también fue víctima de los ataques Mirai originales en septiembre de 2016. OVH es bien conocido por albergar servidores de juegos multijugador como Minecraft, que fue el objetivo de los ataques Mirai en ese momento.

Las publicaciones en foros de juegos han señalado repetidamente a San Calvicie como el grupo responsable de los ataques DDoS en otras comunidades de juegos. En una de estas publicaciones, un usuario ha ido tan lejos como para establecer la nacionalidad y otros detalles personales del líder del grupo.

Desde 2016, la comunidad española de juegos de GTA ha estado lidiando con el acoso de jugadores de San Calvicie, además de sus propios competidores en el negocio de juegos DDoS, como Fenixzone. Sus otros objetivos incluyen los servidores de Grand Theft Multiplayer (GTMP) y el mencionado ISP francés OVH.


Según las publicaciones del foro de juegos, el líder de San Calvicie también ha atacado a los competidores en el negocio de DDoS para obligarlos a vender sus servidores a San Calvicie. En algunos casos, el líder de San Calvicie apaga los servidores después de comprarlos. Aparentemente, la guerra de gusanos no se limita solo a tomar el control de los routers de las víctimas; se extiende a aprovechar los ejércitos de máquinas infectadas contra la competencia.

En 2018, GTMP cambió de propietario cuando "DurtyFree", su propietario original, decidió venderlo como ellos ya no pudo mantenerlo. Un usuario con el nombre de "Julice", a quien algunos han identificado como el líder de San Calvicie, superó la mejor oferta de € 8,000 (alrededor de US $ 9,000), que había sido hecha por uno de los codificadores de GTMP, que estaba buscando para apoyar a la comunidad. DurtyFree finalmente vendió GTMP y su código fuente a Julice por € 30,000 (alrededor de US $ 34,000). Los miembros del foro de juegos expresaron su preocupación por tener a Julice como el nuevo propietario de GTMP, ya que San Calvicie había desarrollado una reputación de hostigar a otros jugadores. Algunos creían que Julice usaría el cliente GTMP para expandir su botnet de 25,000 miembros.

Varios canales de juegos en YouTube que ocasionalmente incluyen entrevistas con miembros de San Calvicie discuten la amenaza que el grupo presenta a otros servidores de juegos. Incluso hay una petición de Change.org sobre este tema con más de 1,000 firmas que piden el destierro de Julice, quien también es conocido como "Sergioo", de la comunidad de jugadores "Los Santos Juegos de Rol S.L."





Algunas publicaciones del foro también han acusado al presunto líder de San Calvicie de hackear cuentas de Paypal. Un servidor de GTA que se ha conectado a San Calvicie, LS-RP, también ha estado involucrado en actividades DDoS el 9 de junio de 2020, según AbuseIPDB. .




San Calvicie y sus seguidores participan en una página de Facebook llamada "Calvos para Locos" . Las publicaciones incluyen conversaciones sobre la actividad de DDos contra otros servidores de juegos, actualizaciones de juegos y quejas sobre los miembros de juegos




San Calvicie es un atacante estereotípico en esta guerra territorial, es decir, el grupo tiene un objetivo. En el caso del grupo, se trata de promover la propia comunidad de jugadores de los miembros destruyendo a sus adversarios. Utilizan botnets de IoT para alcanzar su objetivo. Esto implica hacerse cargo del mayor número posible de enrutadores y usar su ancho de banda para realizar DDoS en otras comunidades de juego o vender su ancho de banda para que otra persona contrate su poder. Esta capacidad DDoS podría terminar siendo utilizada por otros jugadores, extorsionistas y otras personas para cualquier propósito.

Este no es un incidente aislado. El precio de estas armas es tan ridículamente bajo, a menudo simplemente gratis, que prácticamente cualquiera puede unirse a esta guerra.


Fuentes:
https://blog.radware.com/security/2018/02/jenx-los-calvos-de-san-calvicie/
https://www.observatoriorh.com/al-dia/trend-micro-aconseja-como-proteger-los-routers-domesticos.html
https://documents.trendmicro.com/assets/white_papers/wp-worm-war-the-botnet-battle-for-iot-territory.pdf

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.