Depositphotos
У informe El equipo CTRL de Cato señala que los hackers han lanzado una nueva campaña de botnet dirigida a los routers TP-Link — más de 6.000 dispositivos están infectados actualmente.
Se señala que la botnet Ballista explota una vulnerabilidad de ejecución remota de código (RCE) en el modelo Archer AX-21 de TP-Link. El malware se descarga inicialmente en el dispositivo y ejecuta un script que recibe y ejecuta el archivo binario deseado, y luego establece el canal de control (C2) en el puerto 82, dando a los hackers el control total del dispositivo.
El malware puede ejecutar comandos remotos, ataques DDoS y ver archivos de configuración, así como ocultar su rastro y presencia e infectar otros routers. Entre los miles de dispositivos infectados, la mayoría se concentran en Brasil, Polonia, Reino Unido, Bulgaria y Turquía, y los ataques se dirigen a empresas sanitarias o tecnológicas de Estados Unidos, Australia, China y México.
Dado que la dirección IP y el idioma utilizados eran italianos, los investigadores atribuyeron el ataque a piratas informáticos de ese país. Sin embargo, la IP original ya no es funcional, habiendo sido sustituida por una nueva versión que utiliza dominios TOR — esto indica que el malware sigue en desarrollo activo.
Los investigadores recomiendan instalar inmediatamente el parche recomendado para el router TP-Link Archer AX-21 — disponible a través de el sitio web oficial de la empresajunto con las instrucciones de instalación.
Fuente: tomsguide