julliett rojo - Isla informática

Un nuevo aviso conjunto de ciberseguridad de la Oficina Federal de Investigaciones, la Fuerza de Misión Nacional Cibernética y la Agencia de Seguridad Nacional expone nueva actividad del actor de amenazas Flax Typhoon. Los ciberatacantes han comprometido más de 260.000 enrutadores de pequeñas oficinas/oficinas domésticas (SOHO), firewalls, dispositivos de almacenamiento conectado a la red e Internet de las cosas para crear una botnet capaz de lanzar ataques de denegación de servicio distribuido o ataques dirigidos a redes estadounidenses. ¿Quién es Flax Typhoon? Flax Typhoon, también conocido como RedJuliett y Ethereal Panda, es un actor de amenazas con sede en China activo desde al menos mediados de 2021, según Microsoft. El gigante tecnológico informó que Flax Typhoon ha apuntado a organizaciones con sede en Taiwán, así como a otras víctimas en el sudeste asiático, América del Norte y África con fines de ciberespionaje. Según el aviso conjunto del FBI, el grupo respalda a una empresa con sede en China llamada Integrity Tech, que tiene vínculos con el gobierno chino. Flax Typhoon ha utilizado varias direcciones IP diferentes del proveedor chino China Unicom Beijing Province para controlar y administrar la botnet. El grupo también ha aprovechado estas direcciones para acceder a otras infraestructuras operativas utilizadas en operaciones de intrusión informática dirigidas a entidades estadounidenses. Otros informes muestran que los actores de amenazas con sede en China han atacado a empresas y gobiernos de todo el mundo en los últimos años. VER: Por qué su empresa necesita formación en concienciación sobre ciberseguridad (TechRepublic Premium) La botnet ‘Raptor Train’ Black Lotus Labs, el equipo de inteligencia de amenazas de la empresa de ciberseguridad Lumen, publicó un informe sobre la vulneración de los enrutadores SOHO y otros dispositivos por parte de Flax Typhoon. Llamaron a la botnet resultante de esa actividad «Raptor Train» y la han estado rastreando durante cuatro años. Los dispositivos afectados han sido comprometidos por una variante de la infame familia de malware Mirai, lo que la convierte en un arma preferida por cualquier ciberdelincuente que busque comprometer dispositivos IoT, ya que podrían modificar fácilmente el código para su propósito. En la variante observada por el FBI, el malware automatiza la vulneración de varios dispositivos explotando vulnerabilidades conocidas. Las vulnerabilidades explotadas más antiguas se remontan a 2015, mientras que la más reciente ocurrió en julio de 2024. Una vez comprometido, el dispositivo envía información del sistema y de la red a un servidor C2 controlado por el atacante. A partir de septiembre de 2024, más de 80 subdominios de un dominio w8510.com estaban asociados con la botnet. Cobertura de seguridad de lectura obligada Casi la mitad de los dispositivos afectados se encontraban en EE. UU. En junio de 2024, los servidores de administración que ejecutaban un software front-end llamado «Sparrow», que permitía a los atacantes controlar los dispositivos comprometidos, contenían más de 1,2 millones de registros. Esto incluye más de 385.000 dispositivos únicos en EE. UU. Un recuento de dispositivos infectados realizado en junio de 2024 reveló que casi la mitad (47,9%) de los dispositivos infectados se encontraban en EE. UU., seguido de Vietnam (8%) y Alemania (7,2%). Recuento de dispositivos infectados por país en junio de 2024. Imagen: IC3.gov Más de 50 sistemas Linux se vieron comprometidos, desde versiones obsoletas y sin soporte hasta las que actualmente cuentan con soporte, ejecutando versiones de Linux Kernel desde 2.6 a 5.4. La interfaz Sparrow permitió al actor de amenazas no solo enumerar los dispositivos comprometidos, sino también administrar vulnerabilidades y exploits, cargar o descargar archivos, ejecutar comandos remotos y adaptar los ataques DDoS basados en IoT a escala. Los dispositivos comprometidos por la botnet cubren muchas marcas, incluidos los enrutadores ASUS, TP-LINK o Zyxel. También se vieron afectadas las cámaras IP, como D-LINK DCS, Hikvision, Mobotix, NUUO, AXIS y las cámaras Panasonic. Los NAS de QNAP, Synology, Fujitsu y Zyxel también fueron el objetivo. El director del FBI, Christopher Wray, anunció en una conferencia magistral en la Cumbre Cibernética de Aspen de 2024 que una autorización judicial permitió al FBI emitir comandos para eliminar el malware de los dispositivos infectados. Cómo pueden protegerse las empresas del tifón Flax El FBI recomienda que se tomen las siguientes medidas de inmediato: Desactive los servicios y puertos no utilizados en los enrutadores y dispositivos IoT. Los atacantes pueden abusar de servicios como Universal Plug And Play o los servicios de uso compartido de archivos, por lo que se deben desactivar todos los servicios si no son necesarios. Se debe implementar la segmentación de la red para garantizar que los dispositivos IoT no representen un mayor riesgo de compromiso. Se debe aplicar el principio del mínimo privilegio para que los dispositivos solo puedan realizar su función prevista. Controle los grandes volúmenes de tráfico de red. Las organizaciones deben prepararse para volúmenes de tráfico anormales que podrían ser ataques DDoS. Implemente parches y actualizaciones para todos los sistemas operativos, software y firmware. La aplicación regular de parches mitiga la explotación de vulnerabilidades. Reemplace las contraseñas predeterminadas de los dispositivos por otras más seguras para que un atacante no pueda simplemente iniciar sesión con las credenciales predeterminadas. La agencia federal también sugirió que las empresas planifiquen reinicios de dispositivos (para eliminar malware sin archivos que pueda ejecutarse en la memoria) y reemplacen los equipos al final de su vida útil por otros compatibles. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

Todo lo que necesitas saber sobre tecnología

Etiqueta: julliett rojo

El FBI confirma que un ataque vinculado a China afecta a 260.000 dispositivos