Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
▼
febrero
(Total:
102
)
- El DJ serbio que se ha forrado recuperando dominio...
- La plaga de anuncios trampa con imágenes de famoso...
- Con una Raspberry Pi y un algoritmo de IA bloquea ...
- Hackean remotamente las impresoras 3D de Anycubic
- Disponible Kali Linux 2024.1 con 4 nuevas herramie...
- El ransomware Rhysida pide 3,6 millones de dólares...
- Browser In The Browser (BitB) sin marcos
- Botnet con Ubiquity EdgeRouter infectados
- Epic Games ha sido hackeada por Mogilevich: han ro...
- Amazon Prime Video incluirá anuncios en España a p...
- Samsung presenta una tarjeta microSD capaz de alca...
- El Bitcoin alcanza su valor más alto de los último...
- PlayStation despide a cientos de empleados y cance...
- Universal Music retira más canciones de TikTok e i...
- Novedades Tails 6.0
- Configurar una VPN con WireGuard y WireGuard-UI en...
- Configurar una VPN Site-to-Site con IPsec
- Influencers "Los Petazetaz" detenidos por violar y...
- Filtración datos personales titulares de las tarje...
- Energizer P28K: el móvil con la batería más grande...
- Lenovo presenta un prototipo de portátil con una p...
- Oppo presenta las Air Glass 3, sus gafas de realid...
- ¿Puede un malware ocultarse en una foto?
- Vulnerabilidades más aprovechadas para realizar at...
- Microsoft se une al club de Apple: diseñará sus pr...
- Nvidia supera las expectativas y sus ventas para c...
- Vuelve el grupo de ransomware LockBit
- Windows 11 aún no es compatible ni con Wi-Fi 7 ni ...
- Avast antivirus multada con 16,5 millones por alma...
- El cristal de las Apple Vision Pro se agrieta sin ...
- Consiguen hackear PlayStation Portal y ejecutar un...
- Google usará Reddit para entrenar su inteligencia ...
- Gemma, la nueva IA de código abierto de Google
- Menores de edad “venden” sus datos biométricos a W...
- Un pasajero en pleno vuelo publica en Reddit una i...
- Filtración programa integral de vigilancia global ...
- Un error en las cámaras domóticas Wyze permitió qu...
- Condenan a prisión en EE.UU. a una popular youtube...
- Más de 28.500 servidores correo Microsoft Exchange...
- Europol confisca los sitios del mayor grupo de ran...
- Microsoft anuncia su mayor inversión en España: 1....
- La Comisión Europea abre una investigación a TikTok
- Comisiones Obreras de España sufre un hackeo con l...
- La UE multará a Apple Music con 500 millones de eu...
- GhostTask: crea tareas programadas de forma sigilo...
- Acusan a X (Twitter) de recibir dinero de grupos t...
- LineageOS 21, la mejor ROM alternativa llega actua...
- KeyTrap: Vulnerabilidad crítica de diseño en DNS
- Europa dictamina que las puertas traseras en siste...
- Nothing Phone 2a: especificaciones, precio y diseño
- Se casa la pareja que solo se podía comunicar medi...
- Microsoft presenta su aplicación PC Manager para m...
- NVIDIA Chat with RTX, un chatbot de IA que se ejec...
- OpenAI presenta Sora, su nueva herramienta para ge...
- El ‘boom’ de los influencers de 10 años: el reto d...
- Suplantación del CEO utilizando la técnica de inte...
- Cuidado con enamorarte de una IA: son una trampa p...
- ChatGPT es el nuevo aliado de los grupos cibercrim...
- Las empresas empiezan a usar una herramienta de IA...
- Vuelve la fiebre por el Bitcoin: alcanza su máximo...
- Google, Meta y OpenAI anuncian medidas para identi...
- Vulnerabilidad crítica en Docker permite escapar d...
- Vulnerabilidad en el software Magician de Samsung SSD
- IA, pérdidas de trabajo y los despidos
- Filtrados los datos de 33 millones de pacientes fr...
- OnlyFake: identidades falsas de cualquier país
- Ovrdrive USB, el pendrive que se autodestruye
- Amazon es acusada de recomendar los productos más ...
- Descubren malware en mini-ordenadores vendidos en ...
- El cursor de tu ratón está torcido, y ha estado as...
- La telco mexicana Claro reconoce haber sufrido un ...
- Según Estados Unidos, los coches eléctricos chinos...
- Vulnerabilidad en productos Ivanti expone a miles ...
- Empresa de recuperación de datos avisa: «Pendrives...
- Rompen el cifrado BitLocker de Windows 10 y Window...
- Vulnerabilidad crítica que afecta a la mayoría de ...
- Apple presenta una IA de código abierto para edita...
- ¿Una botnet de DDoS con cepillos de dientes? No es...
- Vulnerabilidades en Cisco, Fortinet, VMware y QNAP
- Cómo ver todas las contraseñas de conexiones WiFi ...
- Google advierte por la creciente amenaza de empres...
- Operación Synergia de la Interpol arresta a 31 per...
- Roban 24 millones a una empresa suplantando al CEO...
- España gana el Ambassador World Cup 2023
- Cómo banear miles de direcciones IP's con ipset
- Facebook cumple 20 años
- Condenan a 40 años de cárcel al hacker que filtró ...
- Vulnerabilidad 0-day en el registro de eventos de ...
- Roban 15 millones de registros de Trello a través ...
- AnyDesk sufre una brecha de seguridad y recomienda...
- Importantes vulnerabilidades en el syslog() de la ...
- En España un ciberataque de ransomware deja sin si...
- Google cambiará el nombre de Bard a Gemini
- Google presenta ImageFX, su generador de imágenes ...
- Amazon anuncia el chatbot Rufus, un asistente de c...
- Demandan en España a Worldcoin, la empresa que esc...
- Binance filtra su código fuente e información conf...
- Microsoft ignoró avisos sobre un exploit de DALL-E...
- El impacto de la IA le está reportando millones de...
- Las SSD de 16 TB llegarán pronto
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
Botnet con Ubiquity EdgeRouter infectados
Grupos de ataque militares rusos están utilizando Ubiquiti EdgeRouter comprometidos para evadir la detección, dice el FBI en un aviso conjunto emitido con la NSA, el Comando Cibernético de EE.UU. y socios internacionales.
El FBI ha neutralizado una red de routers Ubiquiti Edge OS, controlada por el grupo de ciberespionaje APT28, vinculado a la inteligencia Rusa. Esta operación, denominada «Dying Ember», ha puesto de manifiesto la sofisticación y el alcance global de las tácticas de ciberespionaje empleadas por este grupo, destacando la urgencia de adoptar medidas de ciberseguridad robustas por parte de los usuarios de estos dispositivos.
Los ciberespías de la Unidad Militar 26165, parte de la Dirección Principal de Inteligencia del Estado Mayor (GRU - Russian Military Intelligence) de Rusia y rastreados como APT28 y Fancy Bear, están utilizando estos routers secuestrados y muy populares para construir extensas redes de bots que les ayudan a robar credenciales, recopilar hashes NTLMv2.
También se utilizan para alojar herramientas personalizadas y páginas de inicio de phishing en operaciones cibernéticas encubiertas dirigidas a militares, gobiernos y otras organizaciones en todo el mundo.
"Los EdgeRouters a menudo se envían con credenciales predeterminadas y protecciones de firewall limitadas o nulas para adaptarse a los proveedores de servicios de Internet inalámbricos (WISP)", advierte el aviso conjunto. "Además, los EdgeRouters no actualizan automáticamente el firmware a menos que un consumidor los configure para hacerlo".
A principios de este mes, el FBI desbarató una botnet de Ubiquiti EdgeRouters infectados con el malware Moobot por ciberdelincuentes no vinculados con APT28 que el grupo de hackers ruso luego reutilizó para construir una herramienta de ciberespionaje con alcance global.
En sus ataques, los actores de amenazas apuntaron a vulnerabilidades Zero-Day, incluida una vulnerabilidad crítica de elevación de privilegios en Microsoft Outlook en Windows (CVE-2023-23397), que aprovecharon para recopilar hashes NTLMv2 de cuentas de Outlook específicas. Como parte de estos ataques, los actores también instalaron herramientas disponibles públicamente, como Impacket ntlmrelayx.py y Responder, para ayudar con los ataques de retransmisión NTLM y para alojar servidores de autenticación NTLMv2 maliciosos. Actualmente hay exploits activos.
También es importante mantener el dispositivo actualizado. En julio pasado, se ha publicado un exploit de prueba de concepto (PoC) para la vulnerabilidad CVE-2023-31998 en Ubiquiti EdgeRouter. La vulnerabilidad en el miniupnpd de EdgeRouters y AirCube permite a los atacantes de LAN ejecutar código arbitrario. Actualmente también hay exploits activos.
Mientras investigaba los routers hackeados, el FBI descubrió varias herramientas y artefactos APT28, incluidos scripts de Python para robar credenciales de correo web, programas diseñados para recopilar hashing NTLMv2 y reglas de enrutamiento personalizadas que redirigían automáticamente el tráfico de phishing a una infraestructura de ataque dedicada.
APT28 es un notorio grupo de hackers ruso responsable de varios ataques cibernéticos de alto perfil desde que comenzaron a operar.
Cómo "revivir" Ubiquiti EdgeRouters secuestrados
El FBI y las agencias asociadas detrás del aviso recomiendan las siguientes medidas para deshacerse de la infección de malware y bloquear el acceso de APT28 a los routers comprometidos:
- Realice un restablecimiento de fábrica del hardware para eliminar los sistemas de archivos de archivos maliciosos
- Actualice a la última versión de firmware
- Cambiar los nombres de usuario y contraseñas predeterminados, y
- Implemente reglas de firewall estratégicas en las interfaces del lado WAN para evitar la exposición no deseada a servicios de administración remota.
El FBI está buscando información sobre la actividad de APT28 en EdgeRouters hackeados para evitar un mayor uso de estas técnicas y responsabilizar a los responsables.
La red de bots MooBot, empleada por APT28 (también conocido como Fancy Bear, entre otros nombres), fue inicialmente creada por cibercriminales no afiliados al GRU utilizando el malware Moobot para infectar routers Ubiquiti Edge OS con contraseñas predeterminadas conocidas públicamente. Posteriormente, APT28 aprovechó esta infraestructura para sus operaciones de ciberespionaje, desplegando herramientas maliciosas propias y recolectando datos sensibles a través de ataques de spear-phishing y la recolección de hashes NTLMv2, entre otras tácticas.
La operación «Dying Ember» permitió al FBI acceder remotamente a los routers comprometidos, eliminar datos y archivos maliciosos, y modificar reglas de firewall para bloquear el acceso remoto y prevenir reinfecciones por parte de los espías rusos. Esta intervención destaca la importancia de mantener los dispositivos de red actualizados y protegidos mediante prácticas de ciberseguridad efectivas.
Recomendaciones de Seguridad:
- Realizar un reinicio de fábrica de los routers afectados.
- Actualizar a la última versión del firmware disponible.
- Cambiar las credenciales predeterminadas por unas fuertes y únicas.
- Configurar reglas de firewall adecuadas para restringir el acceso remoto a los servicios de gestión del router.
Fuentes: ArsTechnica
Vía:
https://blog.segu-info.com.ar/2024/02/botnet-con-ubiquity-edgerouters.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.