Mirai botnet bloquea a 900.000 routers alemanes

Mirai es una red de dispositivos IoT zombie, que utilizan los ciberdelincuentes para realizar ataques de denegación de servicios (DDoS).

Durante los últimos meses ya han realizado importantes ataques como el de Dyn, un importante servidor de DNS. Ahora ha vuelto provocando problemas a más de 900.000 routers de Deutsche Telekom en Alemania.

Una red zombie de IoT

Normalmente una red zombie, o botnet, está compuesta por ordenadores, tanto pcs como portátiles. Sin embargo Mirai emplea dispositivos conectados a Internet (IoT o Internet de las cosas) como routers, webcams o incluso impresoras.

Estos dispositivos no parecen los habituales para que los ciberdelincuentes los usen para sus fines delictivos, pero resulta que son muy útiles para realizar un ataque DDoS por varias razones:

Escasa seguridad: muchos tienen importantes agujeros de seguridad que facilitan su infección.
La mayoría de los dispositivos son lo suficientemente potentes para desbordar una una conexión a Internet doméstica aunque realmente su potencia informática sea muy pequeña.
Muchos dispositivos IoT están diseñados para conectarse automáticamente a Internet, pero disponen de una configuración por defecto poco segura que nunca será modificada.

Mirai ha cambiado las reglas del juego no solo por usar dispositivos IoT, si no porque también dispone de función que busca nuevos dispositivos. Además desde el famoso ataque al periodista Brian Krebs, el código de Mirai se hizo público, de manera que cualquiera puede crear su propia red zombie y buscar dispositivos que son vulnerables.

El problema de Deutsche Telekom

Según un comunicado de la propia Deutsche Telekom, unos 900.000 de los 20 millones de routers que usan sus clientes son vulnerables a un determinado ataque de Mirai.

Ese ataque no convierte a los routers en miembros de la red zombie, pero los inutiliza hasta que son reseteados. Obviamente, si volvieran a ser atacados, volverían a colapsarse hasta que se reiniciaran de nuevo.

Esta es la razón que muchos usuarios de Deutsche Telekom no tuvieran acceso a Internet durante el pasado fin de semana.

¿Qué hacer?

Deutsche Telekon ya ha añadido varias reglas de filtrado de tráfico que esperan que mitigue el problema, por lo que reiniciar el router (aunque se intentara antes sin éxito) ahora debe funcionar.

Por supuesto esto es solo un parche temporal hasta que encuentren una solución definitiva (posiblemente una actualización del firmware del router). Por lo tanto os sugerimos que estar atentos a la próxima actualización de vuestro router.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: