Cómo me intentaron hackear con una impresora

por:

Cómo me intentaron hackear con una impresora

En esta sección de seguridad, desde Somos Binarios, solemos contar consejos y métodos para aumentar protegernos de diversos ataques. Sin embargo, hoy os vamos a contar cómo nos intentaron hackear con una impresora.

Un correo, el origen de la amenaza

Todo comenzó cuando un día recibimos un correo a nuestra cuenta corporativa, enseguida sospeché de él por estar en inglés, por tener un asunto un tanto extraño y por contar con un adjunto. Como vosotros ya sabréis, estos datos suelen indicar en el 99% de los casos algún tipo de estafa, virus o malware. En efecto, el adjunto traía el ransomware Locky.

Locky, la amenaza

Locky es un ransomware que se ha extendido múchisimo en 2016, afectando a todo tipo de usuarios y empresas. Como no podría ser de otro modo, es un cryptolocker, es decir un tipo de malware que cifra todos tus documentos y pide un rescate para poder recuperarlos. El funcionamiento de este tipo de malware ya os lo contamos anteriormente.

Una impresora, el emisario de la amenza

Una de las cosas que más nos gusta a los informáticos, es curiosear y más si estamos hablando de un ataque que nos han hecho. En este caso lo primero que hice fue ver todas las cabecera del mensaje:

El correo mandado por una impresora con un virus

En azul podemos ver como han suplantado la dirección desde la cual envían los mensajes y enamarillo cómo el mensaje ha pasado el filtro anti spam sin ningún tipo de problemas. Luego analizando la zona roja y la verde, llegamos a la conclusión de que el mensaje tiene su origen en una impresora.

la impresora atacante

Si analizamos la IP atacante con nmap, podemos ver algunos datos curiosos:

PORT     STATE    SERVICE        VERSION
21/tcp   open     tcpwrapped
22/tcp   open     tcpwrapped
23/tcp   filtered telnet
53/tcp   filtered domain
80/tcp   filtered http
113/tcp  filtered ident
135/tcp  filtered msrpc
136/tcp  filtered profile
137/tcp  filtered netbios-ns
138/tcp  filtered netbios-dgm
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
1025/tcp open     NFS-or-IIS?
1477/tcp filtered unknown
1701/tcp filtered l2f
3120/tcp filtered unknown
3530/tcp filtered gf
4200/tcp filtered vrml-multi-use
5127/tcp filtered unknown
5183/tcp filtered unknown
5657/tcp filtered unknown
7098/tcp filtered unknown
7822/tcp filtered unknown
8098/tcp open     tcpwrapped
8291/tcp open     tcpwrapped
8426/tcp filtered unknown
8834/tcp filtered unknown

Uptime guess: 4.173 days (since Wed Nov 9 15:18:19 2016)

Esta impresora que lleva 4173 días activa, es el blanco perfecto de los hackers, ya que tenemos un equipo funcionando siempre y disponible para realizar los ataques. Si a eso le sumamos que su seguridad no será muy alta, porque ¿quién va a atacar una impresora? y es un equipo descontinuado, por lo que no va a recibir parches de seguridad, tenemos el origen perfecto.

 

En resumen, cuidado con los correos y más si llevan adjuntos y también en pensar que solo los ordenadores son responsables de ataques, si se quiere una buena seguridad hay que aplicarlo a todo dispositivo conectado a la red.

Un saludo

Deja una Respuesta