Un peligroso malware dejó inutilizables a más de 600.000 routers en solo 72 horas: los expertos tienen muchas preguntas
Un día te quedas sin Internet. Como suele ser habitual en este tipo de casos, reinicias el router con la esperanza de que la conexión vuelva a la normalidad. Lejos de encontrar una solución, en el dispositivo de red se enciende una luz roja y sigues sin la posibilidad de navegar.
El paso siguiente es hablar con tu ISP, pero este no tiene muy claro qué está sucediendo. Al igual que tú, muchas otras personas están teniendo problemas para utilizar el servicio. Lo que acabamos de describir es lo que vivieron cientos de miles de personas en Estados Unidos.
Cuando un ciberataque desconecta a cientos de miles de personas
Black Lotus Labs dio a conocer recientemente un ciberataque que se desarrolló durante aproximadamente 72 horas a partir del 25 de octubre de 2023. El informe dice que el incidente afectó a un único proveedor de servicios de Internet, aunque no reveló el nombre del mismo.
El laboratorio de seguridad de Lumen Technologies dijo, además, que el alcance destructivo del evento fue tal que el ISP se vio obligado a sustituir unos 600.000 routers de sus clientes. Asimismo, señaló que no hay precedentes de un ataque con las mismas características.
Aunque, como decimos, Black Lotus Labs no ha brindado precisiones sobre los afectados, Reuters sugiere que el ISP afectado fue Windstream, con sede en Arkansas. Sin embargo, la firma y las autoridades no han hecho comentarios públicos al respecto.
Los expertos creen que los ciberatacantes utilizaron un troyano de acceso remoto (RAT) conocido como “Chalubo” para lograr su cometido. Este malware habría permitido a los actores malintencionados ejecutar scripts Lua y distribuir una actualización de firmware maliciosa.
Una vez que el nuevo software llegó a los routers, estos perdieron el código operativo que les permitía conectarse con el ISP. Los dispositivos afectados serían modelos de las marcas ActionTec y Sagemcom conectados a un único ASN perteneciente al ISP.
Como decimos, hay muchas preguntas todavía sin resolver. Entre ellas encontramos a los medios iniciales del ataque. Los expertos no lo tienen claro. Podríamos estar hablando de vulnerabilidades en los equipos de red o de abuso de credenciales en paneles de gestión del ISP.
En cualquier caso, se sabe que el proveedor de servicios de Internet se ha visto obligado a destinas recursos adicionales para garantizar la disponibilidad del servicio. Pero se desconoce si ha implementado medidas de seguridad específicas para evitar problemas como este en el futuro.
Imágenes | Buyapprovedmodems.com | Standret
En Xataka | La “descomposición digital”: cómo el 38% de los sitios web que existían en 2013 han desaparecido de internet