Cibercriminales apuntan a routers brasileños con credenciales por defecto

Hogares y pequeñas empresas que usan routers clásicos para conectarse a Internet podrían ser víctimas de ataques que apuntan principalmente a usuarios de Brasil, aunque podrían ser fácilmente localizados para cualquier otro país.

Estos ataques han estado ocurriendo desde 2012, pero los riesgos que conllevan están aumentando drásticamente a medida que el número de equipos conectados a Internet a través de routers se dispara; según Cisco, para 2020 habrá 3,4 dispositivos per cápita conectados a redes IP. Por lo tanto, estamos monitoreando de cerca estos ataques para seguirles el ritmo a los recientes desarrollos de las técnicas utilizadas por los atacantes.

Parece probable que haya diferentes grupos ejecutando estos ataques, ya que tanto la metodología como los scripts usados varían. De todas formas, los fundamentos básicos son los mismos: se aprovechan del fácil acceso a routers que brinda una autenticación débil (generalmente la combinación de nombre de usuario y contraseña por defecto), o bien explotan vulnerabilidades en su firmware.

Los objetivos principales de estos ataques son cambiar la configuración del DNS, permitir el acceso de administración remota con IP pública y establecer una contraseña predefinida (muchas veces la que viene por defecto) para otorgarse un fácil acceso en otra ocasión.

Cómo funcionan los ataques

Los ataques que hemos observado fueron resultado de la redirección desde una página maliciosa o una red de anuncios publicitarios hacia la página de destino creada por los cibercriminales, que aloja un script malicioso.

Luego, el script prueba las combinaciones predefinidas de usuario y contraseña en las direcciones locales por defecto según el tipo de router, junto con los comandos que se desea ejecutar.

Los usuarios afectados en general usan navegadores Firefox, Chrome u Opera. Internet Explorer parece estar protegido principalmente porque no admite nombres de usuario y contraseñas en direcciones de sitios web, por lo tanto, no admite la forma username:password@server.

Caso de uso: phishing que utiliza el nombre de un reconocido banco de Brasil

Desde principios de septiembre, el promedio diario de clientes únicos reportando ataques de los tipos descritos llegó a 1.800, siendo la mayoría provenientes de Brasil. Una gran porción de las direcciones DNS que encontramos estaban funcionando; sin embargo, algunas no funcionaban en absoluto, y otras mostraban una página web de bienvenida del servidor tradicional.

Si bien es difícil encontrar las páginas exactas sobre las que estos atacantes están tratando de tomar el control, para usarlas con fines de phishing, hemos podido encontrar algunas irregularidades.

Más información

Artículo publicado en www.welivesecurity.com