Un importante y misterioso ataque de malware destruye 600.000 enrutadores
En octubre pasado, los suscriptores de un proveedor de servicios de Internet llamado Windstream se vieron envueltos en un problema de interrupción masiva de enrutadores, que afectó a aproximadamente 600.000 dispositivos en 18 estados de EE. UU.
Inicialmente, muchos clientes culparon a la empresa por las interrupciones generalizadas del sistema, pero luego pareció que algo muy diferente estaba sucediendo después de que los equipos no respondieran a los reinicios y otros intentos de comenzar a funcionar nuevamente.
Los usuarios acudieron en masa a los foros de mensajes en línea para desahogar su enojo y expresar sus propias experiencias sobre cómo el ActionTec T3200 mostraba una luz roja fija, pero poco más. Desde Alabama y Arkansas hasta Georgia y Kentucky, la gente quedó aislada del mundo exterior. Algunos detallaron la pérdida de ganancias porque no podían trabajar desde casa, y un suscriptor de Windstream afirmó que había perdido $1500 debido a la falta de WiFi y las horas dedicadas a solucionar problemas.
La compañía reemplazó los enrutadores bloqueados, pero no hubo muchas explicaciones hasta un informe reciente realizado por Black Lotus Labs de la firma de seguridad cibernética Lumen Technologies.
La investigación descubrió un «evento destructivo» del que Windstream aún no ha dado cuenta.
Resulta que durante 72 horas a partir del 25 de octubre, se utilizó malware que eliminó más de 600.000 dispositivos de enrutador conectados a un número de sistema autónomo (ASN) solitario perteneciente a un ISP anónimo.
Posible ataque por parte del Estado nación
¿Coincidencia? Si bien el equipo de investigación no mencionó el ISP involucrado, la situación coincide con el bloqueo masivo reportado por los suscriptores de Windstream y el período de tiempo de sus comentarios en los foros.
Malware conocido como Se especificó Chalubo, que infectaba enrutadores, ejecutaba scripts Lua personalizados que sobrescribían permanentemente el firmware, haciendo que los dispositivos fueran redundantes.
Los investigadores dijeron: “Los ataques destructivos de esta naturaleza son motivo de gran preocupación, especialmente en este caso».
“Una porción considerable del área de servicio de este ISP cubre rural o desatendido comunidades; lugares donde los residentes pueden haber perdido el acceso a los servicios de emergencia, las empresas agrícolas pueden haber perdido información crítica del monitoreo remoto de los cultivos durante la cosecha, y los proveedores de atención médica están desconectados de la telesalud o de los registros de los pacientes».
«No hace falta decir que la recuperación de cualquier interrupción en la cadena de suministro llevará más tiempo en las comunidades aisladas o vulnerables».
Los investigadores señalaron que es probable que un actor de amenazas sofisticado sea el responsable, potencialmente un ataque patrocinado por el estado, sin dar más detalles. Tras un análisis cuidadoso, el vector de infección inicial sigue siendo desconocido, aunque se están considerando diversas posibilidades.
Windstream aún no ha proporcionado una respuesta detallada o una explicación sobre lo sucedido, lo que deja abiertas las preguntas de los clientes, y los expertos en seguridad también buscan más respuestas sobre este importante y único ciberataque.
Crédito de la imagen: Ideograma
Related Posts
Límites de la falta de código: por qué las industrias clave dependen del desarrollo de código personalizado
Revisión de TP-Link Omada EAP773: Actualización sólida de Wi-Fi 7
![[TOKEN2049] Richard Teng habla sobre cómo llevar a Binance a una nueva era](https://i2.wp.com/vulcanpost.com/wp-content/uploads/2024/09/token2049-Richard-teng-fireside-chat.jpg?w=1024&resize=1024,1024&ssl=1 "[TOKEN2049] Richard Teng habla sobre cómo llevar a Binance a una nueva era")