Filtradas 500.000 credenciales de dispositivos IoT (telnet)

Esta semana un atacante ha publicado una lista con las credenciales de telnet de más de 515.000 servidores, routers domésticos y dispositivos IoT. La lista fue filtrada en un foro habitual de hacking e incluye la dirección IP del dispositivo junto con el nombre de usuario y la contraseña para el servicio telnet.


ZDNet entiende que la lista fue publicada en línea por el responsable del servicio DDoS-for-Hire (DDoS booter). Según afirma el autor de la filtración, la lista se creó buscando dispositivos que tuviesen el puerto telnet abierto. Después intentó combinaciones de contraseñas por defecto o combinaciones de credenciales típicas. Una vez creada la lista de bots, se conectó a cada dispositivo para instalar malware. El atacante intentó usar (1) nombres de usuario y contraseñas predeterminados de fábrica, o (2) combinaciones de contraseña personalizadas pero fáciles de adivinar.

Todas las listas que el atacante filtró tienen fecha de octubre a noviembre de 2019. Algunos de estos dispositivos ahora pueden ejecutarse en una dirección IP diferente o utilizar diferentes credenciales de inicio de sesión. Normalmente estas listas tienen carácter privado, aunque en el pasado algunas de ellas se han filtrado, como la liberada en agosto de 2017, donde más de 33.000 credenciales de routers domésticos se hicieron públicas.

Esta lista ha sido publicada por el operador de un servicio DDoS que alquila sus servicios. La razón por la cual esta lista se hizo pública (según el hacker) es que ha migrado sus servicios a un modelo basado en servidores cloud.

Esta lista se hizo entre octubre y noviembre de 2019. Muchos de estos dispositivos podrían haber cambiado de dirección IP o estar usando credenciales diferentes.

Aunque muchas de estas credenciales ya no serían válidas, esta lista puede llegar a ser muy útil en manos de un atacante experimentado.

Estos tipos de listas, llamadas "listas de bots", son un componente común de una operación de botnet de IoT. Los hackers escanean Internet para crear listas de bots y luego las usan para conectarse a los dispositivos e instalar malware.

Estas listas generalmente se mantienen privadas, aunque algunas se han filtrado en línea en el pasado, como una lista de 33,000 credenciales Telnet de enrutadores domésticos que se filtró en agosto de 2017. Hasta donde sabemos, esto marca la mayor fuga de contraseñas Telnet conocidas hasta la fecha

Cuando se le preguntó por qué publicó una lista tan masiva de "bots", el atacante dijo que actualizó su servicio DDoS a un nuevo modelo que se basa en alquilar servidores de alto rendimiento de proveedores de servicios en la nube.

Fuente: SeguInfo

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos