Troyano Chalubo inutiliza más de 600.000 routers de Estados Unidos en 72 horas
El ataque identificado se llevó a cabo entre el 25 y el 27 de octubre de 2023 y dejó a los dispositivos infectados permanentemente y, por tanto, inoperables. Asimismo, los routers afectados estaban ubicados en Estados Unidos, bajo un solo proveedor de servicios de Internet (ISP).
Investigadores de la compañía de telecomunicaciones Lumen Technologies han informado sobre un «evento destructivo» protagonizado por el troyano de acceso remoto (RAT) Chalubo, que logró inutilizar más de 600.000 routers de pequeñas oficinas en un margen de 72 horas, obligando a su reemplazo.
El ataque identificado se llevó a cabo entre el 25 y el 27 de octubre de 2023 y dejó a los dispositivos infectados permanentemente y, por tanto, inoperables. Asimismo, los routers afectados estaban ubicados en Estados Unidos, bajo un solo proveedor de servicios de Internet (ISP).
Así lo ha detallado el informe publicado por los investigadores del equipo de ciberseguridad Black Lotus Labs (propiedad de Lumen Technologies), en el que han mostrado el análisis realizado para identificar el ataque malicioso, sus posibles orígenes y sus consecuencias, ya que dejó a cientos de miles de usuarios sin conexión a Internet.
En concreto, los investigadores han confirmado que se inutilizaron un total de 659.000 routers, de los cuales 179.000 pertenecían a la marca ActionTec y los 480.000 restantes de la firma Sagemcom. Asimismo, su análisis identificó el uso del troyano de acceso remoto conocido como Chalubo, como la principal herramienta utilizada por los ciberdelincuentes.
Este RAT, que fue identificado por primera vez en 2018, es capaz de emplear técnicas inteligentes para ocultar su actividad, incluso eliminar todos los archivos de un disco y cifrar todas las comunicaciones con el servidor de comando y control (C2).
Además, en este caso los investigadores también han encontrado cargas útiles en Chalubo diseñadas para realizar ataques de denegación de servicio distribuido (DDoS), con lo que se consigue saturar los dispositivos desbordando la capacidad de administrar solicitudes y, de esta forma, evitar que el sistema funcione correctamente.
No obstante, aunque por el momento no se ha podido determinar el creador del ciberataque y ningún grupo de actividad conocido ha asumido la autoría, desde Black Lotus Labs apuntan a que ha sido una operación coordinada y deliberada destinada a causar una interrupción. Así, han concluido que el evento fue realizado por un actor cibernético malicioso no atribuido.
Con todo ello, los investigadores de Black Lotus Labs han subrayado que se trata de un ataque «sin precedentes» debido a la rapidez de acción y a la cantidad de unidades afectadas que, además, requirió el reemplazo de ‘hardware’ de todas ellas.
Por tanto, han señalado que continuarán colaborando con la comunidad de investigación de seguridad para compartir nuevos hallazgos relacionados con este ciberataque y, de esta forma, garantizar que los usuarios estén informados.