diciembre 8, 2024

La nueva campaña de malware HiatusRAT se dirige a los enrutadores corporativos

Una nueva campaña de malware se dirige a los enrutadores de pequeñas empresas para robar datos.


Una nueva campaña de malware, conocida como “Hiatus”, apunta a los enrutadores de pequeñas empresas para robar datos y espiar a las víctimas.


Nueva campaña de malware ‘Hiatus’ ataca enrutadores corporativos

Una nueva campaña de malware, denominada “Hiatus”, se dirige a los enrutadores de pequeñas empresas que utilizan el malware HiatiusRAT.

El 6 de marzo de 2023, la firma de investigación Lumen publicó una publicación de blog sobre esta campaña maliciosa. En la publicación del blog de Lumen, se afirmó que “Lumen Black Lotus Labs® ha identificado otra campaña nunca antes vista que involucra enrutadores comprometidos”.

HiatusRAT es un tipo de malware conocido como troyano de acceso remoto (RAT). Los ciberdelincuentes utilizan los troyanos de acceso remoto para obtener acceso y control remotos de un dispositivo objetivo. La última versión del malware HiatusRAT parece haber estado en uso desde julio de 2022.

En la publicación del blog de Lumen, también se afirmó que “HiatusRAT permite que el actor de amenazas interactúe de forma remota con el sistema y utiliza funciones predefinidas, algunas de las cuales son muy inusuales, para convertir la máquina comprometida en un proxy encubierto para el actor de amenazas”.

Con la utilidad de línea de comandos “tcpdump”, HiatusRAT puede interceptar el tráfico de red que pasa por el enrutador de destino, lo que permite el robo de datos. Lumen también especuló que los operadores maliciosos involucrados en este ataque tienen como objetivo crear una red proxy oculta a través del ataque.

HiatusRAT apunta a tipos específicos de enrutadores

primer plano del enrutador con cables externos

El malware HiatusRAT se usa para atacar los enrutadores VPN DrayTek Vigor al final de su vida útil, específicamente los modelos 2690 y 3900 que ejecutan una arquitectura i386. Estos son enrutadores de gran ancho de banda utilizados por las empresas para brindar soporte de VPN a los trabajadores remotos.

Estos modelos de enrutadores son comúnmente utilizados por propietarios de pequeñas y medianas empresas, que corren un riesgo particular de ser el objetivo de esta campaña. Los investigadores no saben cómo se infiltraron estos enrutadores DrayTek Vigor en el momento de escribir este artículo.

Se descubrió que más de 4000 máquinas eran vulnerables a esta campaña de malware a mediados de febrero, lo que significa que muchas empresas aún corren el riesgo de ser atacadas.

Los atacantes apuntan solo a unos pocos enrutadores DrayTek

De todos los enrutadores DrayTek 2690 y 3900 conectados a Internet en la actualidad, Lumen ha informado una tasa de infección de solo el 2%.

Esto indica que los operadores maliciosos intentan mantener sus huellas dactilares al mínimo para limitar la exposición y evadir la detección. Lumen también insinuó en la publicación de blog antes mencionada que los atacantes también utilizan esta táctica para “mantener puntos críticos de presencia”.

HiatusRAT representa un riesgo continuo

Al momento de escribir este artículo, HiatusRAT representa un riesgo para muchas pequeñas empresas, con miles de enrutadores aún expuestos a este malware. El tiempo dirá cuántos enrutadores DrayTek han sido atacados con éxito en esta campaña maliciosa.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *