Microsoft ha publicado una herramienta que busca y detecta dispositivos de Internet de las cosas con tecnología MikroTik que han sido secuestrados por la pandilla Trickbot
El escáner de código abierto se produce después de una investigación realizada por el equipo de investigación Defender for IoT de Redmond sobre cómo el nefasto equipo de malware se apodera de los enrutadores MikroTik y los configura para canalizar las comunicaciones hacia y desde las computadoras infectadas con Trickbot en la red y los servidores back-end de los delincuentes.
En una nota de publicación de esta semana, el equipo de seguridad de Microsoft describió cómo los delincuentes comprometen los dispositivos MikroTik para fortalecer las comunicaciones C2 de Trickbot. La pandilla primero debe adquirir credenciales para las puertas de enlace y, según Microsoft, lo hace a través de una variedad de métodos, incluido el uso de contraseñas predeterminadas de MikroTik y el lanzamiento de ataques de fuerza bruta.
O pueden explotar CVE-2018-14847 en dispositivos que ejecutan versiones de RouterOS anteriores a 6.42. Esto permite que un atacante lea archivos arbitrarios como user.dat, que contiene contraseñas, explicó Microsoft.Luego, los delincuentes cambian la contraseña del enrutador para mantener el acceso y luego usan el dispositivo comprometido para enviar comandos a los sistemas envenenados por Trickbot en la red para que ejecuten ransomware, extraigan monedas, roben o eliminen datos, etc.
- Microsoft bloqueará las macros VBA descargadas en Office; es posible que pueda ejecutarlas de todos modos
- Nada de lo que burlarse: el negocio de las patatas fritas y las nueces KP Snacks golpeado en un ataque de pirateo de ransomware
- Los federales esposan a un ruso que se dice que es el desarrollador del ransomware 'Trickbot'
- Bloquee sus macros de Office: la red de bots Emotet vuelve de entre los muertos con enlaces de Trickbot
Microsoft detectó que la pandilla Trickbot enviaba comandos RouterOS específicos de MikroTik a dispositivos infectados para configurar la redirección de tráfico C2 y luego rastreó esos comandos hasta su origen. Como explicaron los investigadores de amenazas: "Los dispositivos MikroTik tienen un sistema operativo único basado en Linux llamado RouterOS con un shell SSH único al que se puede acceder a través del protocolo SSH usando un conjunto restringido de comandos", con el prefijo /.
Microsoft señaló que el tráfico C2 redirigido se recibe desde el puerto 449, un puerto Trickbot conocido, y se redirige a través del puerto 80.
El escáner se conecta a los dispositivos MikroTik y busca reglas de configuración de redirección de tráfico y cambios de puerto, entre otros indicadores de Trickbot. Si quieres buscar por ti mismo, sin usar el código de Microsoft, o necesitas consejos sobre qué hacer si crees que tu enrutador ha sido comprometido, Redmond te ofrece esto:
Ejecute el siguiente comando [en el enrutador] para detectar si la regla NAT se aplicó al dispositivo (completada también por la herramienta):
/ip cortafuegos nat imprimir
Si existen los siguientes datos, podría indicar una infección:
chain=dstnat action=dst-nat to-addresses=
to-ports=80 protocol=tcp dst-address=
chain=srcnat action=masquerade src-address=
Ejecute el siguiente comando para eliminar la regla NAT potencialmente maliciosa:
/ip cortafuegos nat eliminar números=
Y, como era de esperar, el consejo número uno para protegerse contra futuras infestaciones de Trickbot: manténgase actualizado y use una contraseña segura, no la predeterminada de MikroTik.
Historias relacionadas:
Malware : continua atacando a las distribuciones en Linux y sigue en aumento
VMware : anuncia que las nubes basadas en linux son vulnerables
El malware de Linux en lo que va del año 2022 está en aumento
El malware FontOnLake ataca los sistemas Linux en ataques dirigidos
Crackonosh: Malware que se incrusta en Windows para minar Criptomonedas
Malware roba 26 millones de contraseñas de Windows
Este malware se disfraza de actualización de Microsoft Word para infectar tu PC
Ataques basados en HTTP y Java; así está el panorama del malware
Amenazas de Linux en la Nube y recomendaciones de Seguridad 2021
El proyecto de código abierto Trousseau está disponible para agregar seguridad en Kubernetes
Debian GNU / Linux 11.2 : lanzó actualización de seguridad y correcciones
Los nuevos parches de seguridad del kernel de Ubuntu : están en vulnerabilidades de seis
KubeCon + CloudNativeCon destacan la seguridad para el software libre
Ciberseguridad: La familia de malware 'FontOnLake' se dirige a los sistemas Linux !Urgente
[Fuente]: theregister.com
Anónimo.( 16 de Marzo de 2022).Trickbot. [Fotografía]. Modificado por Carlos Zambrado Recuperado de theregister.com
