Routers comprometidos utilizados en ataques DDoS pagos

Share this…

El servicio de “alquiler” de DDoS que dejó fuera de servicio a Xbox Live y Playstation Network funciona gracias a miles de routers caseros comprometidos, según un reporte de Brian Krebs. ¿Y cómo es eso posible? Gracias a que aún tienen la configuración de fábrica, es decir, que mantienen las credenciales por defecto.

El grupo de hacking Lizard Squad ha estado usando routers inseguros cuyas contraseñas no habían sido cambiadas para construir su propia red de bots, que pueden ser usados para dejar fuera de servicio sitios con tráfico falso excesivo.

“Resulta que el servicio aprovecha en ancho de banda de los routers caseros comprometidos alrededor del mundo que están protegidos por poco más que usuarios y contraseñas por defecto”, explica Krebs en su blog.

Committed routers used in DDoS attacks payments

Según The Guardian, también han apuntado a routers comerciales en compañías y universidades y, peor aún, utiliza los sistemas infectados para buscar otros routers para añadir a su arsenal. Krebs afirma: “además de convertir al host infectado en un zombi, el código malicioso usa el sistema infectado para buscar en Internet dispositivos adicionales que también permiten el acceso a través de credenciales por defecto, como ‘admin/admin’ o ‘root/12345′. En este sentido, cada host infectado está constantemente tratando de propagar la infección a nuevos routers hogareños y otros dispositivos aceptando conexiones entrantes con credenciales por defecto”.

Esta no es la primera vez que el descuido de no cambiar las contraseñas de fábrica es aprovechado a gran escala, sobre todo si recordamos el caso de las cámaras IP que publicaban en la web todo lo que registraban.

Lizard Squad rápidamente reclamó el crédito por los ataques que dieron de baja a Xbox Live y Playstation Network cerca de Navidad, y luego se reveló que eran una elaborada publicidad para el servicio del grupo que permite dejar fuera de servicio el sitio que el cliente elija, pagando por la ejecución de ataques DDoS. Estos consisten en el envío de un gran flujo de información desde varios puntos de conexión, de forma que se satura la capacidad de trabajo y el servicio atacado deja de funcionar.

Fuente:https://www.welivesecurity.com/