Más de 6,000 Routers Siguen Siendo Vulnerables mientras la Botnet Ballista se Expande

Un botnet recién descubierto llamado Ballista está atacando activamente los routers TP-Link Archer, explotando una falla de seguridad conocida para propagarse a través de internet, según investigadores de ciberseguridad de Cato Networks.

La botnet se aprovecha de una vulnerabilidad en el firmware, rastreada como CVE-2023-1389, que permite a los atacantes obtener acceso remoto a los routers TP-Link sin parchear.

La Agencia de Ciberseguridad e Infraestructura de Seguridad de EE.UU. (CISA) ya ha señalado el fallo, instando a las agencias a parchear sus dispositivos. A pesar de esto, más de 6,000 routers vulnerables permanecen en línea, según una búsqueda en la plataforma de ciberseguridad Censys.

Cato Networks detectó por primera vez la campaña Ballista el 10 de enero, observando varios intentos de infiltración, con el último registrado el 17 de febrero.

El malware del botnet permite a los atacantes ejecutar comandos en dispositivos comprometidos, lo que genera preocupaciones de que su creador, quien se cree que está basado en Italia, pueda tener objetivos más grandes más allá de las operaciones típicas de botnet.

“Sospechamos que atrapamos esta campaña en sus primeras etapas”, dijo Matan Mittelman, líder del equipo de prevención de amenazas en Cato Networks, según lo informado por The Record. “Vimos que evolucionaba, ya que en un corto periodo de tiempo, el actor de la amenaza cambió el dropper inicial para permitir conexiones más sigilosas al servidor C2 a través de la red Tor”, añadió.

Ballista ya ha dirigido sus ataques a organizaciones de fabricación, salud, tecnología y servicios en los Estados Unidos, Australia, China y México. El malware toma completamente el control de los routers infectados, lee sus archivos de configuración y luego se propaga a otros dispositivos.

El equipo de seguridad de Cato también encontró evidencia de que la botnet puede ser capaz de robar datos. Aunque la dirección IP original vinculada al hacker ya no está activa, los investigadores descubrieron una versión actualizada del malware en GitHub, lo que indica que la campaña de ataque está evolucionando.

Investigadores de Cato señalaron que la campaña parece estar volviéndose más sofisticada. Si bien el malware comparte algunas características con otros botnets, sigue siendo distinto de los bien conocidos como Mirai y Mozi.

El objetivo persistente de los routers de Internet por parte de los hackers no es algo nuevo. Los expertos dicen que los dispositivos IoT como los routers son objetivos principales debido a contraseñas débiles, mantenimiento deficiente y la falta de actualizaciones automáticas de seguridad.

Mittelman explicó que, a lo largo de los años, grandes botnets de IoT como Mirai y Mozi han demostrado lo fácil que puede ser explotar los routers, y los actores de amenazas han aprovechado esto.

Destacó dos factores clave que han contribuido al problema: los usuarios a menudo descuidan actualizar el firmware de sus routers y, por lo general, los proveedores de routers no priorizan la seguridad.

Los routers de TP-Link han sido una preocupación de seguridad recurrente. The Wall Street Journal informó recientemente que las agencias estadounidenses están considerando prohibirlos debido a la explotación repetida por parte de hackers chinos.