Los piratas informáticos patrocinados por el estado afiliados a China han atacado enrutadores de pequeñas oficinas y oficinas domésticas en los EE. UU. en un ataque de botnet de amplio alcance, dijo el director de la Oficina Federal de Investigaciones, Christopher Wray. Anunciado el miércoles 31 de enero. La mayoría de los enrutadores afectados fueron fabricados por Cisco y NetGear y habían llegado al final de su vida útil.
Los investigadores del Departamento de Justicia dijeron el 31 de enero de 2024 que el malware se eliminó de los enrutadores afectados. Los investigadores también aislaron los enrutadores de otros dispositivos utilizados en la botnet.
Los equipos de TI necesitan saber cómo reducir los riesgos de ciberseguridad que podrían derivarse de que los trabajadores remotos utilicen tecnología obsoleta.
¿Qué es el ataque de la botnet Volt Typhoon?
La amenaza a la ciberseguridad en este caso es una botnet creada por Volt Typhoon, un grupo de atacantes patrocinado por el gobierno chino.
A partir de mayo de 2023, el FBI examinó una campaña de ciberataque contra organizaciones de infraestructura crítica. El 31 de enero de 2024, el FBI reveló que una investigación sobre el mismo grupo de actores de amenazas en diciembre de 2023 mostró que atacantes patrocinados por el gobierno de China habían creado una botnet utilizando cientos de enrutadores privados en todo Estados Unidos.
El ataque fue un intento de crear avances en “los sectores de comunicaciones, energía, transporte y agua” con el fin de perturbar funciones críticas de Estados Unidos en caso de conflicto entre los países, dijo Wray en el comunicado de prensa.
MIRA: Múltiples empresas de seguridad y agencias estadounidenses tienen el ojo puesto androxgh0st, una botnet dirigida a las credenciales de la nube. (República Tecnológica)
Los atacantes utilizaron una técnica de “vivir de la tierra” para mimetizarse con el funcionamiento normal de los dispositivos afectados.
El FBI se está comunicando con cualquier persona cuyo equipo haya sido afectado por este ataque específico. No se ha confirmado si los empleados de una organización en particular fueron el objetivo.
Cómo reducir los riesgos de ciberseguridad de las botnets para trabajadores remotos
El hecho de que los enrutadores objetivo sean de propiedad privada pone de relieve un riesgo de seguridad para los profesionales de TI que intentan mantener seguros a los trabajadores remotos. Dado que los miembros de TI no supervisan los enrutadores utilizados en el hogar, es difícil saber si los empleadores pueden estar utilizando enrutadores antiguos o incluso al final de su vida útil.
Redes de bots se utilizan a menudo para lanzar ataques distribuidos de denegación de servicio o para distribuir malware, por lo que las defensas contra ellos son componentes importantes de una defensa completa contra las botnets. Las botnets suelen estar dirigidas por un servidor de comando y control centralizado.
Las organizaciones deben asegurarse de tener una buena protección de endpoints y defensas proactivas, como:
El software y el hardware deben mantenerse actualizados, ya que los dispositivos al final de su vida útil son particularmente vulnerables. Para proteger los dispositivos contra el uso de ataques de botnets, ejecute análisis de seguridad periódicos, instituya la autenticación multifactor y mantenga a los empleados informados sobre mejores prácticas de ciberseguridad.
«Es esencial realizar de forma proactiva inventarios tecnológicos exhaustivos de activos más allá de la oficina tradicional», dijo Demi Ben-Ari, directora de tecnología de la firma de tecnología de gestión de riesgos de terceros Panorays, en un correo electrónico a TechRepublic. «Este enfoque ayuda a identificar tecnología obsoleta, garantizando que los trabajadores remotos tengan equipos actualizados y seguros».
«Si bien el trabajo remoto presenta vulnerabilidades potenciales debido a diversos entornos, es importante tener en cuenta que podrían ocurrir ataques similares en un entorno de oficina», dijo Ben-Ari.