Lanzan desde México un ataque tipo Mirai

22/05/2018

Un par de equipos de investigación de Trend Micro ha detectado y realizado un análisis forense a un nuevo ataque tipo Mirai que surgió en México a principios de mayo, el cual afectó routers caseros de Red Óptica Pasiva con Capacidad de Gigabit (GPON) y cámaras web con IP.

Los ataques, que se registraron del 8 al 10 de mayo, surgieron de 3,845 direcciones IP localizadas en México y se dirigían a los routers y cámaras web aprovechando las contraseñas por defecto. Una vez que el dispositivo de Internet de las cosas era comprometido, los actores maliciosos usaban las vulnerabilidades CVE-2018-10561 o CVE-2018-10562 para inyectar malware capaz de permitir ejecución remota de código. Se han usado cuatro variantes del malware en diferentes arquitecturas de procesamiento, como ARM, ARMv7, MIPS y MIPS little-endian.

Trend Micro utilizó los Números de Sistema Autónomos (ASN, por sus siglas en inglés) de los dispositivos IP corrompidos para rastrear su ubicación. En este caso, encontraron el ASN 8151, el cual pertenece a la compañía de telecomunicaciones mexicana Uninet, de acuerdo con la herramienta de Neustar para encontrar ASN. Además, los datos WHOIS de las direcciones IP también indicaban que eran propiedad de la misma firma mexicana.

Los investigadores de Trend Micro reiteraron el hecho de que los ataques semejantes a esta variante de Mirai pueden ser bloqueados o derrotados cambiando las credenciales de acceso por defecto y asegurándose de que el dispositivo IoT está ejecutando la versión más actual de su software.

“Recomendamos que los usuarios cambien las credenciales de sus dispositivos (preferentemente, usando contraseñas que incluyan al menos 15 caracteres con una mezcla de mayúsculas y minúsculas, números y caracteres especiales) tan pronto como sea posible”, aseguraron.

Artículos relacionados: