A principios de agosto publicamos un artículo sobre una masiva campaña de criptojacking que afectaba a más de 200.000 routers de la marca MikroTik y en la cual los usuarios de Brasil eran hasta ese momento los más afectados tras conocerse que cerca de 72.000 ubicados en este país fueron comprometidos, de acuerdo a información publicada en Twitter por el investigador Troy Mursch.
Y si bien la empresa fabricante de los routers ya había lanzado en abril un parche para esta vulnerabilidad, a la cual posteriormente se asignó el CVE-2018-14847, lo que sucede es que al igual que pasaba en agosto cuando dimos a conocer la noticia, siguen habiendo muchos usuarios que no actualizaron sus dispositivos contra esta falla y la misma sigue siendo explotada.
De hecho, recientemente investigadores de la empresa china Netlab.360 descubrieron que de los aproximadamente 1.2 millones de routers MikroTik que hay, cerca de 370.000 aún siguen siendo vulnerables al exploit CVE-2018-14847 y que entre el 23 y el 24 de agosto eran más de 7.500 routers comprometidos que estaban permitiendo a atacantes monitorear el tráfico de estos usuarios, inyectar una copia del script de minería de Coinhive, habilitar el servidor proxy socks4 en routers y espiar a las víctimas.
De acuerdo a los datos que dio a conocer a principios de septiembre Troy Mursch, quien investiga campañas de criptojacking, el malware que infecta a los routers MikroTik en esta última campaña incrementan la actividad tanto del CPU como del router MikroTik en un 80% y se mantienen en ese nivel.
Asimismo, de acuerdo a datos del 9 de septiembre que obtuvo Mursch a través de la herramienta Shodan, eran más de 3.800 los routers comprometidos, de los cuales la mayoría estaban en Sudamérica. En este sentido, al igual que en la campaña que dimos a conocer a principios de agosto, Brasil es con 2.612 routers el país más afectado, seguido por Argentina con 480, Ecuador con 214 y Colombia con 120. Igualmente, hay otros países afectados, como Rusia, Indonesia, India, Irán, Italia, Polonia, entre otros varios más.
Compromised #MikroTik routers found on @censysio (107,798) and @shodanhq (179,062).
Active #cryptojacking campaigns: 63
Coinhive: 43
WebMinePool: 7
CoinImp: 5
Crypto-Loot: 3
All others: 4Spreadsheet with lookup URLs:https://t.co/iL8uVgPQJ7 pic.twitter.com/yjDBKsVskV
— Bad Packets Report (@bad_packets) 10 de septiembre de 2018
Según comentó Mursch a Bleeping Computer, la cantidad de dispositivos afectados es difícil saberla con certeza ya que las cifras van cambiando minuto a minuto de acuerdo a los routers que van siendo infectados.
De acuerdo a un artículo publicado por The Hacker News, la vulnerabilidad que se está explotando desde hace ya varios meses había sido revelada por WikiLeaks como parte del lanzamiento de la conocida Vault 7.
Como se puede ver con este caso de los routers de la marca MikroTik, los cibercriminales se aprovechan de vulnerabilidades viejas ya que entienden que igualmente tienen oportunidades de conseguir su objetivo debido a que hay muchos usuarios que no tienen instaladas las actualizaciones en sus dispositivos.
Para todos los usuarios que tengan un router MikropTik, se recomienda descargar e instalar el parche que los protege de esta vulnerabilidad aquí.