La unidad de investigación de SILIKN ha emitido una alerta por la presencia en México de HiatusRAT, un troyano de acceso remoto (RAT), malware diseñado para permitir que un atacante controle de forma remota una computadora infectada. Una vez que el RAT se ejecuta en un sistema comprometido, el atacante puede enviar comandos y recibir datos en respuesta.
HiatusRAT, infecta enrutadores de la marca DrayTek — en empresas pequeñas y medianas de todo el mundo —, para ciberespionaje y control de proxy, lo cual ha disparado las alertas para proteger, como prioridad, la infraestructura de enrutadores de las empresas.
Esta campaña, denominada HiatusRAT, tiene dos objetivos: robar datos en ataques dirigidos y capturar enrutadores para que se conviertan en parte de una infraestructura encubierta de comando y control para campañas delictivas difíciles de rastrear.
Los ciberatacantes están usando vulnerabilidades conocidas contra los modelos DrayTek Vigor 2960 y 3900 que ejecutan una arquitectura i368. Una vez que los atacantes logran comprometerlos, pueden plantar dos binarios maliciosos en los enrutadores.
El primer binario es una utilidad de espionaje llamada tcpdump, que monitorea el tráfico del enrutador en los puertos relacionados con el correo electrónico y las comunicaciones de transferencia de archivos, en la red de área local de la víctima. Tiene la capacidad de recopilar pasivamente el contenido de los correos electrónicos, de texto sin cifrar, a medida que transita por el enrutador.
El segundo binario es un troyano de acceso remoto (RAT), llamado HiatusRAT, que permite a los atacantes interactuar de forma remota con los enrutadores, descargar archivos o ejecutar comandos arbitrarios. También tiene un conjunto de funciones preconstruidas, incluidas dos funciones de proxy que los delincuentes pueden usar para controlar otras infecciones de malware, a través de la máquina infectada de una víctima.
En este sentido, las organizaciones no deben subestimar su valor como objetivo, ya que por pequeña que sea la empresa, cualquiera con un enrutador que use Internet puede ser potencialmente una víctima de Hiatus o puede usarse como proxy para otro ataque.
Hasta el momento, Hiatus ha infectado pequeñas y medianas empresas de Europa y América Latina. En México se han reportado, al día de hoy, 23 ataques de este tipo. Pero la tendencia es al alza, especialmente porque, de acuerdo con un análisis de la unidad de investigación de SILIKN, se han reportado pruebas iniciales de ataques contra dependencias de gobierno, especialmente en sistemas de atención ciudadana, en diferentes municipios que tienen una infraestructura tecnológica relativamente pequeña, con errores de configuración y sin mantenimiento ni actualizaciones.
No obstante, los cibercriminales han mantenido un nivel bajo, lo cual sugiere que están limitando su exposición para mantener su presencia en puntos críticos. Lo anterior, también puede ser un indicio de que el grupo cibercriminal detrás de estos ataques es una amenaza persistente avanzada (APT).
Para protegerse, las organizaciones deben asegurar que sus enrutadores puedan ser verificados, monitoreados y parcheados de manera continua.
Por Víctor Ruiz, fundador de SILIKN.