35.000 bots diarios: cómo ngioweb se convirtió en el principal canal de ciberdelincuencia
Cada vez hay más dispositivos desprotegidos que abren nuevas puertas a los atacantes.
El equipo de Black Lotus Labs de Lumen Technologies ha revelado un nuevo esquema de funcionamiento del botnet ngioweb, que es la base de uno de los mayores servicios de proxy criminales, NSOCKS. Este servicio utiliza diariamente alrededor de 35 000 bots en 180 países, el 60% de los cuales están ubicados en los Estados Unidos.
La investigación mostró que alrededor del 80% de los bots de NSOCKS están relacionados con el botnet ngioweb, que ataca dispositivos IoT y routers SOHO. A través de esta infraestructura, los atacantes ofuscan el tráfico malicioso, realizan phishing y organizan ataques DDoS.
Lumen Technologies logró identificar más de 180 servidores de comando y control (C2), que se utilizan para ocultar la identidad de los usuarios. Estos servidores no solo garantizan el funcionamiento de NSOCKS, sino que también permiten que varios grupos criminales, como Shopsocks5, utilicen la infraestructura del botnet.
El análisis de ngioweb mostró que utiliza numerosos exploits para dispositivos vulnerables, pero no emplea los llamados "días cero". En su lugar, los operadores del botnet explotan activamente versiones obsoletas de firmware y software.
Uno de los principales riesgos es que los dispositivos infectados a menudo son utilizados por varios grupos criminales simultáneamente. Lumen Technologies bloqueó todo el tráfico relacionado con el botnet ngioweb en su red y publicó indicadores de compromiso (IoC) para ayudar a otras empresas a combatir este botnet.
NSOCKS, además de sus funciones estándar de proxy, permite a los atacantes configurar filtros por dominios, incluidos “.gov” y “.edu”, lo que abre posibilidades para ataques dirigidos a entidades gubernamentales y organizaciones educativas. La arquitectura del botnet permite una actividad a largo plazo de los bots: hasta el 40% de los dispositivos permanecen infectados durante más de un mes.
Para contrarrestar la amenaza, los especialistas recomiendan actualizar regularmente el firmware de los routers, evitar contraseñas predeterminadas y proteger las interfaces de administración. Las organizaciones deben bloquear activamente las direcciones IP sospechosas e implementar medidas adicionales de protección para prevenir ataques.
La investigación confirmó que los botnets de proxy se están volviendo cada vez más populares entre los ciberdelincuentes, lo que requiere una colaboración activa y acciones conjuntas por parte de la industria de ciberseguridad.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla