Argentina, se resquebraja su seguridad, frente a una nueva amenaza de Mirai

Mirai, ¿peligran las infraestructuras críticas de ARGENTINA?

Mientras rastreaban la actividad de las botnets en su tráfico de honeypot, los investigadores de seguridad de la firma china de seguridad de TI Qihoo 360 Netlab descubrieron una nueva variante de Mirai, el conocido malware de botnet IoT que causó estragos el año pasado.

La semana pasada, los investigadores notaron un aumento en los puertos de escaneo de tráfico 2323 y 23 de cientos de miles de direcciones IP únicas de Argentina en menos de un día, lo cual nos lleva directo a Mirai.

Los escaneos de puertos específicos buscan activamente dispositivos vulnerables conectados a Internet fabricados por ZyXEL Communications utilizando dos combinaciones de credenciales de telnet predeterminadas: admin / CentryL1nk y admin / QwestM0dem, para obtener privilegios de root en los dispositivos de destino.

Recordemos que las principales proveedoras de Internet han utilizado el modem ZyXEL, sin brindar ningún tipo de advertencia a los usuarios cuando esta vulnerabilidad fue publicada.

Los investigadores creen que esta campaña en curso es parte de una nueva variante de Mirai que se ha actualizado para aprovechar una nueva vulnerabilidad (identificada como CVE-2016-10401) en los módems ZyXEL PK5001Z.

“Los dispositivos ZyXEL PK5001Z tienen zyad5001 como contraseña su (superusuario), que facilita a los atacantes remotos obtener acceso raíz si se conoce una contraseña de cuenta no root según se relata en la vulnerabilidad.

Mirai es el mismo malware IoT botnet que dejó sin conexión a las principales compañías de Internet el año pasado al lanzar ataques DDoS masivos contra Dyndns, paralizando algunos de los sitios web más grandes del mundo, incluyendo Twitter, Netflix, Amazon, Slack y Spotify.

iot-botnet

Los ataques basados ​​en Mirai experimentaron un aumento repentino luego de que alguien publicara públicamente su código fuente en octubre de 2016.

Actualmente, hay varias variantes de la botnet Mirai atacando dispositivos IoT.

La mayor amenaza de tener el código fuente de cualquier malware en público es que podría permitir a los atacantes actualizarlo con nuevos exploits según sus necesidades y objetivos.

Hace 12 días Argentina, ha perdido una nave submarina, por negligencia aparente, aún no fue encontrada ¿qué más necesitamos perder?

No es un dato menor reflexionar sobre que el próximo G20 se realizará en Argentina.

Esta no es la primera vez que el botnet Mirai apunta a dispositivos conectados a Internet fabricados por ZyXEL. Exactamente un año antes, millones de routers Zyxel resultaron vulnerables a una falla crítica en la ejecución del código remoto, que fue explotada por Mirai.

Asegure sus dispositivos conectados a Internet

1. Cambie las contraseñas predeterminadas para sus dispositivos conectados: si posee un dispositivo conectado a Internet en el hogar o el trabajo, cambie sus credenciales predeterminadas. Tenga en cuenta; El malware Mirai escanea la configuración predeterminada.
2. Desactive la administración remota a través de Telnet: acceda a la configuración de su router y deshabilite el protocolo de administración remota, específicamente a través de Telnet, ya que este es un protocolo utilizado para permitir que una computadora controle a otra desde una ubicación remota. También se ha utilizado en ataques Mirai anteriores.
3. Compruebe si hay actualizaciones de software y parches: siempre mantenga sus dispositivos y enrutadores conectados a Internet actualizados con las últimas actualizaciones y parches de firmware.

 

Por Marcelo Lozano – General Publisher IT CONNECT Latam