La unidad de investigación de SILIKN emitió una nueva alerta en México, ahora por la presencia en de HiatusRAT, un troyano de acceso remoto (RAT) que puede afectar los enrutadores de pequeñas y medianas empresas (pymes).
De acuerdo con los especialistas en ciberseguridad, este malware está diseñado para permitir que un atacante controle de forma remota una computadora infectada; una vez que el RAT se ejecuta en un sistema comprometido, el atacante puede enviar comandos y recibir datos en respuesta.
SILIKN detalló en un informe que Hiatus infecta enrutadores de la marca DrayTek — en empresas pequeñas y medianas de todo el mundo —, para ciberespionaje y control de proxy. Tiene dos objetivos: robar datos en ataques dirigidos y capturar enrutadores para que se conviertan en parte de una infraestructura encubierta de comando y control para campañas delictivas difíciles de rastrear.
¿Cómo lo hacen?
Los ciberatacantes están usando vulnerabilidades conocidas contra los modelos DrayTek Vigor 2960 y 3900 que ejecutan una arquitectura i368.
Una vez que los atacantes logran comprometerlos, pueden plantar dos binarios maliciosos en los enrutadores. El primero, es una utilidad de espionaje llamada tcpdump, que monitorea el tráfico del enrutador en los puertos relacionados con el correo electrónico y las comunicaciones de transferencia de archivos, en la red de área local de la víctima. Recopila pasivamente el contenido de los correos electrónicos, de texto sin cifrar, a medida que transita por el enrutador.
El otro binario es un troyano de acceso remoto (RAT), llamado HiatusRAT, que permite a los atacantes interactuar de forma remota con los enrutadores, descargar archivos o ejecutar comandos arbitrarios. Tiene un conjunto de funciones preconstruidas, incluidas dos funciones de proxy que los delincuentes pueden usar para controlar otras infecciones de malware, a través de la máquina infectada de una víctima.
“Las organizaciones no deben subestimar su valor como objetivo, ya que por pequeña que sea la empresa, cualquiera con un enrutador que use Internet puede ser potencialmente una víctima de Hiatus o puede usarse como proxy para otro ataque”, apuntó SILIKN.
Cabe mencionar que, hasta el momento, Hiatus ha infectado decenas de pequeñas y medianas empresas de Europa y América Latina. En México, se han reportado 23 ataques de este tipo.
“La tendencia es al alza, especialmente porque, de acuerdo con un análisis de la unidad de investigación de SILIKN, se han reportado pruebas iniciales de ataques contra dependencias de gobierno, especialmente en sistemas de atención ciudadana, en diferentes municipios que tienen una infraestructura tecnológica relativamente pequeña, con errores de configuración y sin mantenimiento ni actualizaciones”.
No obstante, añadió SILIKN, los cibercriminales han mantenido un nivel bajo, lo cual sugiere que están limitando su exposición para mantener su presencia en puntos críticos.
Te puede interesar: A nueve de cada 10 internautas mexicanos les ‘quita el sueño’ la ciberseguridad
“Lo anterior, también puede ser un indicio de que el grupo cibercriminal detrás de estos ataques es una amenaza persistente avanzada (APT)”.
Para protegerse, los especialistas recomiendan a las organizaciones asegurar que sus enrutadores puedan ser verificados, monitoreados y parcheados de manera continua.
er
