Hechos clave:
-
La vulnerabilidad de los routers MikroTik facilita la propagación de 3 tipos de virus.
-
La epidemia se ha propagado en todo el mundo pese a que ya existe una solución disponible.
Investigadores de ciberseguridad informaron que se ha extendido a todo el mundo la epidemia de enrutadores MikroTik comprometidos con malware de criptominería oculta. El número de dispositivos afectados fue calculado por los expertos en 415.000.
El ataque de cryptojacking fue detectado por primera vez en agosto de este año, cuando se informó de 200.000 routers infectados. En ese momento el investigador de la empresa de ciberseguridad Trustwave descubrió que la mayoría de las víctimas, alrededor de 175.000 usuarios, se localizaban en Brasil.
Los cibercriminales hallaron una vulnerabilidad en los enrutadores MikroTik, denominada CVE-2018-14847, la cual usaron para propagar un sript de criptominería oculta. Para la fecha en que se detectó el ataque masivo, el fabricante de los routers informó que la falla fue parchada el 23 de abril de este año. Sin embargo, meses después, el número de routers comprometidos se duplicó, según el investigador de seguridad cibernética conocido en las redes sociales como VriesHD.
«Sólo tres maneras diferentes de abusar de los routers MikroTik vulnerables para tratar de minar criptomonedas. Total de resultados combinados 415.000. Muchas más formas activas», publicó VriesHD en su cuenta en la red social Twitter, el pasado 2 de diciembre.
Just three different ways to abuse vulnerable Mikrotik routers to try to mine cryptocurrencies. Total combined 415 thousand results. Many more ways active. pic.twitter.com/u01HEr2UQy
— Kira 2.0 (@VriesHd) 2 de diciembre de 2018
Inicialmente, la falla de seguridad de los enrutadores no actualizados fue aprovechada por los piratas informáticos para instalar el script de criptomonería CoinHive en cada sitio web visitado por la víctima. No obstante, los atacantes se han diversificado y ahora emplean otros dos malware de minería conocidos como Omine y CoinImp. El objetivo común es la minería oculta de la criptomoneda basada en la privacidad, Monero (XMR).
El investigador VriesHD, quién ha hecho un seguimiento de este caso, declaró que el cryptojacking mediante Omine pasó a ser predominante. “CoinHive, Omine y CoinImp son los servicios más grandes que se usan. Solía ser como un 80 a 90 por ciento de CoinHive, pero un gran actor ha cambiado al uso Omine en los últimos meses”, explicó.
Los malware diseñados para secuestrar el poder de cómputo de los dispositivos para minar sigilosamente criptomonedas se han venido popularizando a lo largo de este año. Algunos estudios han determinado que los cibercriminales están sustituyendo prácticas como el ransomware, por el cryptojacking.
Otro investigador que ha difundido información sobre el caso de los enrutadores MikroTik, Troy Mursch de Bad Packets Report, había alertado en septiembre sobre el rápido aumento de las cifras de dispositivos comprometidos. Ahora, a través de un tuit publicado el 3 de diciembre, Mursch recomendó a los usuarios hacer uso de la actualización de software disponible en la página oficial de la compañía.
“Los usuarios de MikroTik necesitan asegurarse de que están ejecutando la última versión de RouterOS que está parcheado contra CVE-2018-14847. Cualquier persona que utilice la versión 6.42 o mayor debe aplicar la actualización tan pronto como sea posible”, aconsejó Mursch.
En este sentido, VriesHD añadió un llamado a los proveedores de servicios de Internet (ISP por sus siglas en inglés), para que se incorporen a la solución y ayuden a mitigar esta epidemia. “Los ISP distribuyen el mayor número de ellos [routers] a sus clientes, quienes a menudo no tienen idea de qué hacer o cómo actualizar el enrutador” señaló el investigador.
Imagen destacada de Bits and Splits / stock.adobe.com