El FBI advierte que los actores de amenaza implementan malware en los enrutadores finales de la vida (EOL) para convertirlos en proxys vendidos en redes 5SOCK y AnyProxy.
Estos dispositivos, que se publicaron hace varios años y ya no reciben actualizaciones de seguridad de sus proveedores, son vulnerables a ataques externos que aprovechan las operaciones accesibles para el público para inyectar malware persistente.
Una vez comprometidos, se agregan a las botas proxy residenciales que transportan malware. En muchos casos, estos indicadores son utilizados por los cibercriminales para llevar a cabo malware o ataques cibernéticos.
“Con los 5Socks y Anyproxy Network, los delincuentes venden acceso a enrutadores de compromiso como proxys para que los clientes compren y usen”, “,”, “,” Explica el aviso del FBI Flash.
“Pocus puede ser utilizado por actores de amenaza para oscurecer su identidad o ubicación”.
El consejo enumera los siguientes modelos EOL Linksys y Cisco como objetivos comunes:
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
- Linksys WRT320N, WRT310N, WRT610N
- Cradlepoint E100
- Cisco M10
El FBI advierte que los actores chinos patrocinados por el estado han explotado las vulnerabilidades conocidas (día) en estos enrutadores para llevar a cabo campañas de espionaje secretas, incluidas las operaciones dirigidas a la infraestructura estadounidense crítica.
En boletín relacionadoLa agencia confirma que muchos de estos enrutadores están infectados con una variante de malware “interno”, lo que permite a los actores de amenaza configurarlos como proxys.
“Los enrutadores del final de la vida fueron violados por ciber-actores utilizando variantes de botnet de malware interno”, lee el boletín del FBI.
“Recientemente, algunos enrutadores finales de vida, con una administración remota, se han identificado como comprometidos por una nueva variante de malware.
Una vez comprometidos, los enrutadores se conectan a los servidores de orden y control (C2) para recibir órdenes que se ejecutarán, como escanear y compromiso de dispositivos vulnerables en Internet.
El FBI dice que los representantes se utilizan para escapar de la detección durante el vuelo de criptomonedas, actividades de delitos cibernéticos para alquiler y otras operaciones ilegales.
Los signos actuales de compromiso por una botnet incluyen perturbaciones de conectividad de red, sobrecalentamiento, degradación del rendimiento, cambios de configuración, la apariencia de usuarios de la administración Voyeus y el tráfico de red inusual.
La mejor manera de mitigar el riesgo de infecciones de botnet es reemplazar los enrutadores finales de vida útil con modelos más recientes y compatibles.
Si esto es imposible, aplique la última actualización del firmware para su modelo, proveniente del portal de descarga oficial del proveedor, modifique la información de identificación de la cuenta de administración predeterminada y desactive los paneles de administración remota.
El FBI ha compartido indicadores de compromiso asociados con malware instalado en dispositivos EOL.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.