Una botnet maliciosa ha comprometido 600.000 enrutadores de oficinas y oficinas domésticas (SOHO) en lo que parece ser un ataque coordinado contra un proveedor de servicios de Internet (ISP) específico.
Los investigadores de ciberseguridad de Black Lotus Labs de Lumen publicaron recientemente un un informe En la botnet lo llamaron “Pumpkin Eclipse”.
En el informe, los investigadores dijeron que un troyano de acceso remoto (RAT) llamado Chalubo comprometió cientos de miles de enrutadores SOHO, que constan de tres modelos específicos: ActionTec T3200s, ActionTec T3260s y Sagemcom F5380, todos pertenecientes al mismo ISP. . Chalubo arrastró estos enrutadores a una botnet que, entre otras cosas, era capaz de ejecutar ataques distribuidos de denegación de servicio (DDoS).
Reemplazo de hardware
Luego, entre el 25 y el 27 de octubre de 2023, los enrutadores comenzaron a morir. Si bien Black Lotus no nombró al ISP atacado, pitidocomputadora La compañía dijo que el ataque “tiene un parecido sorprendente” con la interrupción de Windstream, ya que sus usuarios comenzaron a informar sobre enrutadores rotos el 25 de octubre.
“He tenido un módem T3200 por un tiempo, pero hoy sucedió algo que nunca antes había experimentado. La luz de Internet está en rojo fijo. ¿Qué significa y cómo puedo solucionarlo?” Muchos Redditors dijeron en ese momento.
Poco después, Windstream se acercó diciendo que los usuarios necesitaban reemplazar sus dispositivos por otros nuevos.
Lo que sigue siendo un misterio es cómo los enrutadores se infectaron con el virus Chalubo para empezar. Aparentemente, los investigadores no pudieron encontrar el punto de acceso inicial, por lo que los atacantes encontraron una vulnerabilidad de día cero o simplemente explotaron enrutadores con credenciales débiles. Sin embargo, casi la mitad (49%) de los enrutadores de ISP quedaron fuera de uso a los pocos días.
Irónicamente, Chalubo no tiene ningún mecanismo de persistencia, por lo que todo lo que se necesitó para desactivar la botnet fue un reinicio físico del enrutador (un simple corte de energía fue suficiente). Sin embargo, si las credenciales del enrutador son débiles, los atacantes pueden restablecer la conexión. En conclusión, es imprescindible tener una contraseña segura en su enrutador.