Se insta a los usuarios de enrutadores de tomate a fortalecer las contraseñas, o podrían ser violados por piratas informáticos

Ciertas actividades cibercriminales tienen que ver con la escala. Si desea lanzar un ataque DDoS notable, enviar grandes cantidades de spam o generar una billetera llena de bitcoins con la ayuda de una campaña de criptojacking, por ejemplo, necesita mucho hardware. Aquí es donde entran las botnets.

Una botnet es una red de servidores, computadoras y dispositivos IoT a los que los piratas informáticos obtienen acceso y controlan sin que lo sepan sus propietarios. Los puntos finales comprometidos no solo brindan a los piratas informáticos la capacidad de lanzar ataques a gran escala, sino que también les brindan una forma de cubrir sus rastros, por lo que las botnets a veces se usan incluso en sofisticadas campañas de software espía. Por defecto, una botnet nunca puede ser lo suficientemente grande, y los delincuentes constantemente intentan encontrar una manera de expandir sus redes de dispositivos pirateados. Recientemente, por ejemplo, investigadores de la Unidad 42 de Palo Alto Networks nos contaron cómo los operadores detrás de la botnet Muhstik están tratando de agregar nuevos bots a la red.

La botnet Muhstik va después de los enrutadores Wi-Fi que se ejecutan sobre el firmware de Tomato

La botnet Muhstik existe desde marzo de 2018, y los investigadores de Palo Alto Networks han tenido más de unos pocos encuentros con ella. Es conocido por comprometer los servidores Linux y WebLogic con las instalaciones de WordPress y Drupal, y en mayo de 2018, supuestamente intentaba explotar una vulnerabilidad de seguridad en los enrutadores domésticos GPON. El servidor de Comando y Control (C&C) controla los bots a través de un canal IRC, y hasta ahora, los ha estado utilizando principalmente para lanzar ataques DDoS y minar criptomonedas.

A principios de diciembre, los investigadores de Palo Alto Networks notaron que los hackers habían actualizado la botnet. Ahora hay un módulo adicional diseñado para apuntar a enrutadores Wi-Fi que se ejecutan en el firmware de Tomato.

Tomato es un firmware de código abierto para enrutadores domésticos que se supone que es más potente y fácil de usar que sus competidores. Lanzado por primera vez en 2006, está disponible tanto para proveedores como para usuarios finales de forma totalmente gratuita. Los expertos de Palo Alto Networks utilizaron el motor de búsqueda Shodan para determinar que actualmente hay alrededor de 4.600 enrutadores basados en tomate expuestos a Internet. Esto no parece un número particularmente grande, pero los operadores de Muhstik han decidido claramente que el esfuerzo adicional vale la pena. ¿Pero qué podemos hacer para detenerlos?

Las credenciales predeterminadas dejan a los usuarios vulnerables

El informe de Palo Alto Networks termina con una advertencia de que "los usuarios finales deben tener cuidado al instalar el firmware de código abierto". Esto es definitivamente cierto. Los proyectos desarrollados por la comunidad no siempre reciben actualizaciones de seguridad y confiabilidad a tiempo, y a veces podrían abrir enormes agujeros que los hackers pueden explotar fácilmente. De hecho, la versión original del firmware de Tomato no ha tenido una versión estable durante casi una década, lo que habla por sí solo. En este caso particular, sin embargo, la naturaleza de código abierto de Tomato y su antigüedad no son los principales problemas.

Fuera de la caja, los usuarios acceden a sus enrutadores de tomate utilizando "root" o "admin" como nombre de usuario. La contraseña predeterminada en ambos casos es "admin". Estas son las credenciales de inicio de sesión que utiliza la botnet Muhstik para comprometer cualquier enrutador Tomato que encuentre.

Diferentes fabricantes ofrecen diferentes interfaces gráficas de usuario, por lo que no hay una guía paso a paso única para cambiar la contraseña predeterminada en todos los enrutadores basados en Tomato. Sin embargo, todos ofrecen una instalación para hacerlo, y los operadores de Muhstik se aprovechan de los usuarios que no se han molestado en usarlo. La historia nos enseña que tampoco se aferran exactamente a las pajillas.

Las credenciales predeterminadas se pueden obtener fácilmente, y forzarlas de forma bruta no implica una gran cantidad de intentos de inicio de sesión, lo que significa que las posibilidades de levantar sospechas son bajas. Es por eso que los piratas informáticos adoran este método particular para infectar los dispositivos de las personas.

Los usuarios deben aprender que los dispositivos que conectan a Internet nunca deben estar protegidos por los nombres de usuario y contraseñas impresos en el paquete o en la parte inferior del dispositivo. Cuanto antes lo hagan, mejor.