Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Team Cymru identifica 300 mil routers comprometidos
Team Cymru, un equipo especializado en investigaciones relacionadas a la seguridad de la información, ha publicado su más reciente trabajo, en donde devela cómo descubrieron un ataque que redirigió a más de 300 mil equipos a servidores maliciosos.
Según la investigación, una vez que el Gateway es comprometido, los dispositivos detrás del mismo realizan consultas DNS a un servidor malicioso, exponiéndolos a sitios phishing y visitas a sitios que alojan malware, entre otros ataques. El documento publicado indica que entre los equipos afectados se encuentran routers de TP-Link, D-link, Micronet, Tenda y otros.
En el caso de los equipos TP-Link, aparentemente se utilizó un ataque de tipo cross-site request forgery conocido, el cual permite al atacante inyectar una contraseña en blanco a través de la interfaz web de administración del router. Algunos de los dispositivos afectados por el ataque pharming parecen haber sufrido un reemplazo de su firmware Zyxel ZynOS debido a una vulnerabilidad conocida. Otros dispositivos afectados probablemente fueron comprometidos por el uso de contraseñas débiles o predeterminadas.
Los dispositivos afectados sufrieron una modificación en su registro DNS, se incluyeron las direcciones IP 5.45.75.11 y 5.45.75.36. De acuerdo a las estimaciones de Team Cymru, hay aproximadamente 300 000 equipos con direcciones IP únicas haciendo peticiones a esas dos direcciones.
El análisis de esos servidores DNS maliciosos reveló un gran número de equipos comprometidos, incluyendo modelos de D-Link, Micronet, Tenda, TP-Link y otros. Mientras que el mayor número de equipos afectados se encuentra en Vietnam, Italia, Tailandia, Indonesia, Colombia, Turquía, Ucrania, Bosnia y Herzegovina y Serbia, el ataque tiene un impacto global.
De acuerdo a Team Cymru, este ataque no está relacionado al gusano “Moon worm”, que afecta a routers Linksys.
El consejo para mitigar el ataque es verificar la configuración DNS, restringir o deshabilitar la administración remota del router y, de ser posible, bloquear el acceso a los servidores DNS maliciosos.
