jueves, 2 de agosto de 2018

El último ataque contra los router busca instalar CoinHive para minar criptomonedas


Los router se están convirtiendo en objetivo prioritario de los ciberdelincuentes que aprovechan sus vulnerabilidades para su propio beneficio. Estos dispositivos son un eslabón débil de la cadena ya que no cuentan con el cuidado y atención necesario (olvidamos actualizar el firmware, sin ir más lejos). El último ataque conocido contra decenas de miles de routers busca instalar CoinHive para minar criptomonedas y ganar así dinero a costa del equipamiento de red de los usuarios.

En mayo saltaba la noticia, el FBI recomendaba que reiniciáramos nuestro router lo antes posible. Esto estaba relacionado con la existencia de VPNFilter, un malware que afectaba a más de medio millón de routers en todo el mundo de los principales fabricantes. Ha sido un año muy movido en cuanto a vulnerabilidades (no vamos a hablar de Spectre), y los routers se han llevado buena parte de ellas.

Instalar CoinHive para minar criptomonedas en el router


Investigadores de Trustwave han descubierto un ataque sobre decenas de miles de modelos MikroTik de router con el único objetivo de instalar el script CoinHive para minar criptomonedas. Si las grandes vulnerabilidades están marcando 2018, no menos lo están haciendo las criptomonedas.

Muchas páginas web han empezado a incluir este tipo de scripts debido a la caída de los ingresos de la publicidad. De la misma forma, han logrado colar aplicaciones maliciosas con el único propósito de minar criptomonedas en tiendas legítimas como Google Play Store o en el propio Steam en los últimos días.

Un aumento de la actividad de CoinHive a principios de semana alertó a los investigadores que descubrieron el problema en los router MikroTik. Como sabemos, estos modelos no se usan de forma mayoritaria en usuarios domésticos, aunque es cierto que existen excepciones sobre todo en usuarios más avanzados por sus opciones y capacidades de configuración.

Se estima que el ataque ha llegado a afectar a 70,000 routers de esta compañía y no únicamente situados en Brasil. El ataque aprovecha una vulnerabilidad que se cerró con una actualización el 23 de abril. Como siempre, decenas de organizaciones no han hecho su trabajo y no han aplicado el parche, lo que permite a estos ataques convertirse en masivos.

Volviendo al ataque, este no instala el script en el propio router, pero sí hace que se ejecute cada vez que accedemos a una página web “inyectando” el código de este. Se estima que los ciberdelincuentes podrían ganar millones debido al alcance del ataque.