¿Cómo funciona ZuoRAT?
ZuoRAT es descendiente de Mirai, una de las redes de bots de Internet de las cosas (IoT) más famosas de la historia. El código fuente de Mirai se filtró en 2016, lo que permitió a otros malware construir sobre su base de código existente.
ZuoRAT aprovechó el auge del trabajo remoto inspirado por la pandemia de COVID-19. Debido a la pandemia, un mayor volumen de tráfico empresarial ahora pasa a través de enrutadores SOHO, que conectan oficinas en casa o pequeñas compañías a Internet. Estos routers suelen estar menos vigilados y protegidos que sus colegas más grandes, lo que probablemente sea la razón por la que el RAT consiguió pasar desapercibido durante más de un año antes de ser detectado.
ZuoRAT consigue acceder a los routers SOHO aprovechando una vulnerabilidad no parcheada. Estas vulnerabilidades son de conocimiento público; sin embargo, pocos particulares y pequeñas compañías aplican los parches, lo que les deja vulnerables a la explotación. Luego de obtener acceso a un enrutador, el objetivo principal de ZuoRAT es la recopilación de datos confidenciales. Escucha las comunicaciones que pasan a través del router y realiza ataques de intermediario (MitM) en el tráfico HTTP y DNS.
Como RAT, el malware también proporciona al atacante la capacidad de controlar remotamente el dispositivo infectado. Tras recopilar información sobre el dispositivo infectado y la red a la que están conectados, el operador de malware puede decidir ejecutar determinados comandos en los sistemas o descargar módulos adicionales.
La modularidad del ZuoRAT le proporciona una amplia gama de capacidades. Se estima que se identificaron 2.500 módulos diferentes para el malware, lo que permite a los atacantes lanzar ataques altamente personalizados contra los sistemas infectados y red.
Cómo afecta el malware ZuoRAT a los sistemas de red
El malware ZuoRAT fue diseñado para pasar desapercibido en los routers SOHO. Además de aprovechar el hecho de que estos routers no suelen estar gestionados, el malware también empleó comunicaciones de router a router y servidores proxy para el mando y control (C2), lo que dificultó aún más la detección del malware o su rastreo hasta su origen.
Además de crear una red de routers infectados, ZuoRAT puede tener varios impactos en los sistemas de red de una organización. El malware puede espiar e interceptar el tráfico de red y, a través de sus diversos módulos, tiene el potencial de realizar otros ataques, como el rociado de contraseñas o la inyección de código, empleando los recursos del malware y el acceso al tráfico de red.
Cómo proteger contra el malware ZuoRAT
Algunas de las mejores prácticas de seguridad que pueden ayudar a proteger contra estos ataques incluyen:
- Inventario de dispositivos: ZuoRAT se aprovecha del hecho de que muchos propietarios de routers SOHO no saben qué dispositivo tienen, lo que les hace menos propensos a responder a los reportes de una vulnerabilidad explotada activamente. Mantener un inventario completo de los dispositivos informáticos ayuda a garantizar que no se pierdan.
- Gestión de parches: ZuoRAT se aprovecha de vulnerabilidades conocidas públicamente para obtener acceso a dispositivos vulnerables. Instalar rápidamente los parches y actualizaciones cuando estén disponibles puede cerrar posibles intervalos de seguridad antes de que puedan ser explotados por un atacante.
- Seguridad de la red: ZuoRAT realiza diversas acciones maliciosas, como ataques MitM y descarga de módulos maliciosos y otras variantes de malware. La monitorización de la red y el sistema de prevención de intrusiones (IPS ) pueden ayudar a detectar y remediar estas amenazas.
- Seguridad Sitio web: ZuoRAT se puede emplear para ataques HTTP MitM, que redirigen el tráfico de los usuarios a otros sitios web. Las soluciones de seguridad sitio web pueden ayudar a identificar redireccionamientos maliciosos y bloquear malware para que no llegue al dispositivo de los usuarios a través de phishing páginas.
- Gestión de acceso: Este malware compromete los enrutadores, espía el tráfico y puede emplear en la pulverización de contraseñas y ataques similares. Todos estos métodos pueden emplear para comprometer las credenciales de los usuarios, lo que hace que una estable gestión de los accesos -incluidos los controles de acceso de mínimo privilegio y la autenticación de múltiples factores- sea esencial para proteger contra los ataques de toma de control de cuentas (ATO).
Detección y protección de malware ZuoRAT con Check Point
ZuoRAT es una variante versátil de malware que se aprovechó del auge del trabajo a distancia dirigir a pequeñas redes infraprotegidas a las que de repente se confiaron datos empresariales confidenciales. Al acceder a routers SOHO sin parches, obtiene el punto de apoyo perfecto para vigilar el tráfico rojo y realizar otros ataques desde estos dispositivos, a menudo no gestionados.
Este tipo de técnicas siguen siendo habituales en 2023, lo que demuestra que los ciberdelincuentes dieron con una táctica exitosa. Sin embargo, esta es solo una de las muchas amenazas de seguridad con las que las compañías están lidiando. Obtenga más información sobre el panorama actual de las amenazas a la ciberseguridad en el Reporte sobre ciberseguridad 2024 de Check Point.
Check Point's Harmony Endpoint proporciona a las compañías la visibilidad y el control necesarios para identificar y gestionar las amenazas que plantean ZuoRAT y otras variantes de malware. Obtenga más información sobre Harmony Endpoint y su enfoque centrado en la prevención con una demostración gratis.
¿Está
Comentarios