FBI Interrumpe la Botnet rusa Moobot encargada de Infectar los Routers de Ubiquiti

El FBI desmanteló una botnet de enrutadores para pequeñas oficinas/oficinas domésticas (SOHO) utilizados por la Dirección Principal de Inteligencia del Estado Mayor (GRU) de Rusia para enviar tráfico malicioso y atacar a Estados Unidos y sus aliados en ataques de phishing y robo de credenciales.

Esta red de cientos de enrutadores Ubiquiti Edge OS infectados con malware Moobot estaba controlada por la Unidad Militar GRU 26165, también rastreada como APT28, Fancy Bear y Sednit.

Los objetivos de los piratas informáticos rusos incluyen gobiernos estadounidenses y extranjeros, entidades militares y organizaciones corporativas y de seguridad.

“Esta botnet se diferenciaba de las redes de malware anteriores del GRU y del Servicio Federal de Seguridad de Rusia (FSB) interrumpidas por el Departamento en que el GRU no la creó desde cero. En cambio, el GRU se basó en el malware ‘Moobot’, que está asociado con un grupo criminal conocido”, dijo el Departamento de Justicia .

Los ciberdelincuentes no vinculados con la GRU (Inteligencia Militar Rusa) primero se infiltraron en los enrutadores del sistema operativo Ubiquiti Edge e implementaron el malware Moobot, apuntando a dispositivos expuestos a Internet con contraseñas de administrador predeterminadas ampliamente conocidas.

Posteriormente, los piratas informáticos de GRU aprovecharon el malware Moobot para implementar sus propias herramientas maliciosas personalizadas, reutilizando efectivamente la botnet para convertirla en una herramienta de ciberespionaje con alcance global.

En los enrutadores comprometidos, el FBI descubrió una amplia gama de herramientas y artefactos APT28, desde scripts Python para recopilar credenciales de correo web y programas para robar resúmenes NTLMv2 hasta reglas de enrutamiento personalizadas que redirigían el tráfico de phishing a una infraestructura de ataque dedicada.

El FBI Borra el Malware y Bloquea los Access Remotos

Como parte de la “Operación Dying Ember” autorizada por el tribunal, los agentes del FBI accedieron de forma remota a los enrutadores comprometidos y utilizaron el malware Moobot para eliminar datos y archivos robados y maliciosos.

Luego, eliminaron el malware Moobot y bloquearon el acceso remoto que, de otro modo, habría permitido a los ciberespías rusos reinfectar los dispositivos.

“Además, para neutralizar el acceso del GRU a los enrutadores hasta que las víctimas puedan mitigar el compromiso y reafirmar el control total, la operación modificó reversiblemente las reglas de firewall de los enrutadores para bloquear el acceso de administración remota a los dispositivos, y durante el curso de la operación, “Permitió la recopilación temporal de información de enrutamiento sin contenido que expondría los intentos de GRU de frustrar la operación”, dijo el Departamento de Justicia.

Además de frustrar el acceso de GRU a los enrutadores, la operación no interrumpió la funcionalidad estándar de los dispositivos ni recopiló datos de los usuarios. Además, las acciones sancionadas por los tribunales que cortaron el vínculo de los enrutadores con la botnet Moobot son sólo temporales.

Los usuarios pueden revertir las reglas de firewall del FBI restableciendo los valores de fábrica de sus enrutadores o accediendo a ellos a través de las redes locales. Sin embargo, restablecer los dispositivos a los valores de fábrica sin cambiar la contraseña de administrador predeterminada los expondrá a una reinfección.

Interrupción de la Botnet China

Moobot es la segunda botnet utilizada por piratas informáticos patrocinados por el estado para evadir la detección interrumpida por el FBI en 2024 después de la eliminación de la botnet KV utilizada por los piratas informáticos estatales chinos Volt Typhoon en enero.

Desde entonces, CISA y el FBI también publicaron directrices para los fabricantes de enrutadores SOHO, instándolos a proteger sus dispositivos contra ataques continuos con la ayuda de configuraciones predeterminadas seguras y eliminando fallas en la interfaz de administración web durante el desarrollo.

El grupo de ciberespionaje APT28 estuvo vinculado anteriormente con el hackeo del Parlamento Federal alemán (Deutscher Bundestag) en 2015.

También estuvieron detrás de los ataques contra el Comité Demócrata de Campaña del Congreso (DCCC) y el Comité Nacional Demócrata (DNC) en 2016 (por los cuales fueron acusados ​​en Estados Unidos dos años después).

El Consejo de la Unión Europea también sancionó a varios miembros del APT28 en octubre de 2020 por su participación en el ataque al Parlamento Federal alemán de 2015.

Relacionado

Zoom corrige Falla Crítica de Elevación de Privilegios en Aplicaciones de Windows

Los clientes VDI y de escritorio de Zoom y el SDK de Meeting para Windows son vulnerables a una falla de validación de entrada incorrecta que podría permitir que un atacante no autenticado lleve a cabo una escalada de privilegios en el sistema de destino a través de la red. Zoom es un popular servicio de videoconferencia basado en la nube para reuniones corporativas, lecciones educativas, ¡SEGUIR LEYENDO!

WordPress: Graves Errores Detectados en el Complemento Ninja Forms, 1 millón de sitios afectados

Las vulnerabilidades detectadas en el complemento Ninja Forms para WordPress, instalado en más de un millón de sitios, pueden conducir a un asalto completo del sitio si no se repara antes de un posible ataque. Wordfence detectó un total de cuatro vulnerabilidades en el complemento de WordPress Ninja Forms que podrían permitir a los atacantes: Redirigir a los administradores del sitio a ubicaciones aleatorias. Instalar un ¡SEGUIR LEYENDO!

White Phoenix un Nuevo Descifrador de Ransomware Online

CyberArk ha dado un paso significativo en la lucha contra el ransomware al lanzar una versión en línea de 'White Phoenix', un descifrador de ransomware de código abierto diseñado para combatir operaciones que utilizan encriptación intermitente. A pesar de que la herramienta está disponible de forma gratuita en GitHub como un proyecto en Python, CyberArk reconoció la necesidad de una versión en línea para atender a ¡SEGUIR LEYENDO!

VMware insta a los Administradores a eliminar este Complemento de Autenticación

VMware instó hoy a los administradores a eliminar un complemento de autenticación descontinuado expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se han parcheado. El vulnerable complemento de autenticación mejorada (EAP) de VMware permite un inicio de sesión fluido en las interfaces de administración de vSphere a través ¡SEGUIR LEYENDO!

Subdominios Secuestrados de Marcas Importantes utilizados en Campaña Masiva de Spam

Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa. La campaña se llama "SubdoMailing", ya que los actores de amenazas secuestran subdominios abandonados y dominios que pertenecen a empresas conocidas para enviar sus correos electrónicos maliciosos. ¡SEGUIR LEYENDO!