Lectores como tú ayudan a apoyar a MUO. Cuando realiza una compra utilizando enlaces en nuestro sitio, podemos ganar una comisión de afiliado. Leer más.

Una nueva campaña de malware, conocida como "Hiatus", se dirige a los enrutadores de pequeñas empresas para robar datos y espiar a las víctimas.

Nueva campaña de malware "Hiatus" ataca enrutadores comerciales

Una nueva campaña de malware, denominada "Hiatus", se dirige a los enrutadores de pequeñas empresas que utilizan el malware HiatiusRAT.

El 6 de marzo de 2023, la firma de investigación Lumen publicó una publicación de blog sobre esta campaña maliciosa. En el Publicación de blog de Lumen, se afirmó que "Lumen Black Lotus Labs® identificó otra campaña nunca antes vista que involucraba enrutadores comprometidos".

HiatusRAT es un tipo de malware conocido como Troyano de acceso remoto (RAT). Los ciberdelincuentes utilizan los troyanos de acceso remoto para obtener acceso y control remotos de un dispositivo objetivo. La versión más reciente del malware HiatusRAT parece haber estado en uso desde julio de 2022.

instagram viewer

En la publicación del blog de Lumen, también se afirmó que "HiatusRAT permite que el actor de amenazas interactúe de forma remota con el sistema, y utiliza funcionalidad preconstruida, algunas de las cuales son muy inusuales, para convertir la máquina comprometida en un proxy encubierto para el actor de amenazas".

Usando la utilidad de línea de comando "tcpdump", HiatusRAT puede capturar el tráfico de red que pasa por el enrutador de destino, lo que permite el robo de datos. Lumen también especuló que los operadores maliciosos involucrados en este ataque tienen como objetivo establecer una red proxy encubierta a través del ataque.

HiatusRAT apunta a tipos específicos de enrutadores

El malware HiatusRAT se está utilizando para atacar los enrutadores VPN DrayTek Vigor al final de su vida útil, específicamente los modelos 2690 y 3900 que ejecutan una arquitectura i386. Estos son enrutadores de gran ancho de banda utilizados por las empresas para brindar soporte VPN a los trabajadores remotos.

Estos modelos de enrutadores son comúnmente utilizados por propietarios de pequeñas y medianas empresas, que corren un riesgo particular de ser el objetivo de esta campaña. Los investigadores no saben cómo se infiltraron estos enrutadores DrayTek Vigor en el momento de escribir este artículo.

Se descubrió que más de 4000 máquinas eran vulnerables a esta campaña de malware a mediados de febrero, lo que significa que muchas empresas aún corren el riesgo de ser atacadas.

Los atacantes solo se dirigen a unos pocos enrutadores DrayTek

De todos los enrutadores DrayTek 2690 y 3900 conectados a Internet en la actualidad, Lumen informó una tasa de infección de solo el 2 por ciento.

Esto indica que los operadores maliciosos intentan mantener su huella digital al mínimo para limitar la exposición y evadir la detección. Lumen también sugirió en la publicación de blog antes mencionada que los atacantes también utilizan esta táctica para "mantener puntos críticos de presencia".

HiatusRAT plantea un riesgo continuo

Al momento de escribir este artículo, HiatusRAT representa un riesgo para muchas pequeñas empresas, con miles de enrutadores aún expuestos a este malware. El tiempo dirá cuántos enrutadores DrayTek han sido atacados con éxito en esta campaña maliciosa.