Oh, genial, el nuevo malware permite a los piratas informáticos secuestrar su enrutador Wi-Fi
Como si aún no tuviera suficiente de qué preocuparse, un nuevo informe encuentra que los piratas informáticos están apuntando a los enrutadores Wi-Fi domésticos para obtener acceso a todos sus dispositivos conectados.
El informe proviene de Black Lotus Lab, una división de seguridad de Lumen Technologies. El informe detalla varios ataques observados en el mundo real en enrutadores de pequeñas casas/oficinas en el hogar (SOHO) desde 2020, cuando millones de personas comenzaron a trabajar desde casa al comienzo de la pandemia de COVID 19.
Según Black Lotus Lab, los atacantes usan troyanos de acceso remoto (RAT) para secuestrar el enrutador de una casa. Los troyanos usan una nueva variedad de malware llamada zuoRAT para obtener acceso y luego desplegarse dentro del enrutador. Una vez implementadas, las RAT permiten a los atacantes cargar y descargar archivos en todos los dispositivos conectados en la red doméstica o de la oficina.
“El cambio rápido al trabajo remoto en la primavera de 2020 presentó una nueva oportunidad para que los actores de amenazas subvirtieran las protecciones tradicionales de defensa en profundidad al apuntar a los puntos más débiles del nuevo perímetro de red: enrutadores de oficina pequeña/oficina doméstica (SOHO)”. Lumen Technologies dijo en una publicación de blog . “Los actores pueden aprovechar el acceso al enrutador SOHO para mantener una presencia de baja detección en la red de destino”.
ZuoRAT es resistente a los intentos de aislarlo para su posterior estudio. Intenta ponerse en contacto con varios servidores públicos cuando se implementa por primera vez. Si no recibe ninguna respuesta, asume que ha sido aislado y se elimina a sí mismo.
El malware es increíblemente sofisticado y Lumen Technologies cree que puede provenir de un actor del estado-nación, no de piratas informáticos deshonestos. Esto significa que un gobierno con muchos recursos podría estar apuntando a enrutadores SOHO en América del Norte y Europa.
ZuoRAT obtiene acceso remoto a los enrutadores SOHO. Está constantemente escaneando redes en busca de enrutadores vulnerables y ataques si encuentra uno.
Una vez que los troyanos están dentro, no hay límite para el daño que pueden causar. Hasta ahora, se han contentado con robar datos: información de identificación personal (PII), información financiera y normalmente información comercial o corporativa segura. Sin embargo, existe la posibilidad de que los actores de amenazas implementen otro malware una vez que hayan obtenido acceso.
Blue Lotus Lab pudo rastrear uno de los virus zuoRAT hasta servidores en China. Aparte de eso, se sabe poco sobre los orígenes del malware.
Los enrutadores domésticos más comunes parecen ser vulnerables, incluidos Cisco, Netgear y ASUS. La mejor manera de protegerse contra una infección zuoRAT es reiniciar regularmente el enrutador de su hogar. El virus no puede sobrevivir a un reinicio, que borra el enrutador y lo restaura a su configuración de fábrica.