En esta sección de seguridad, desde Somos Binarios, solemos contar consejos y métodos para aumentar protegernos de diversos ataques. Sin embargo, hoy os vamos a contar cómo nos intentaron hackear con una impresora.
Un correo, el origen de la amenaza
Todo comenzó cuando un día recibimos un correo a nuestra cuenta corporativa, enseguida sospeché de él por estar en inglés, por tener un asunto un tanto extraño y por contar con un adjunto. Como vosotros ya sabréis, estos datos suelen indicar en el 99% de los casos algún tipo de estafa, virus o malware. En efecto, el adjunto traía el ransomware Locky.
Locky, la amenaza
Locky es un ransomware que se ha extendido múchisimo en 2016, afectando a todo tipo de usuarios y empresas. Como no podría ser de otro modo, es un cryptolocker, es decir un tipo de malware que cifra todos tus documentos y pide un rescate para poder recuperarlos. El funcionamiento de este tipo de malware ya os lo contamos anteriormente.
Una impresora, el emisario de la amenza
Una de las cosas que más nos gusta a los informáticos, es curiosear y más si estamos hablando de un ataque que nos han hecho. En este caso lo primero que hice fue ver todas las cabecera del mensaje:
En azul podemos ver como han suplantado la dirección desde la cual envían los mensajes y enamarillo cómo el mensaje ha pasado el filtro anti spam sin ningún tipo de problemas. Luego analizando la zona roja y la verde, llegamos a la conclusión de que el mensaje tiene su origen en una impresora.
Si analizamos la IP atacante con nmap, podemos ver algunos datos curiosos:
PORT STATE SERVICE VERSION 21/tcp open tcpwrapped 22/tcp open tcpwrapped 23/tcp filtered telnet 53/tcp filtered domain 80/tcp filtered http 113/tcp filtered ident 135/tcp filtered msrpc 136/tcp filtered profile 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 1025/tcp open NFS-or-IIS? 1477/tcp filtered unknown 1701/tcp filtered l2f 3120/tcp filtered unknown 3530/tcp filtered gf 4200/tcp filtered vrml-multi-use 5127/tcp filtered unknown 5183/tcp filtered unknown 5657/tcp filtered unknown 7098/tcp filtered unknown 7822/tcp filtered unknown 8098/tcp open tcpwrapped 8291/tcp open tcpwrapped 8426/tcp filtered unknown 8834/tcp filtered unknown
Uptime guess: 4.173 days (since Wed Nov 9 15:18:19 2016)
Esta impresora que lleva 4173 días activa, es el blanco perfecto de los hackers, ya que tenemos un equipo funcionando siempre y disponible para realizar los ataques. Si a eso le sumamos que su seguridad no será muy alta, porque ¿quién va a atacar una impresora? y es un equipo descontinuado, por lo que no va a recibir parches de seguridad, tenemos el origen perfecto.
En resumen, cuidado con los correos y más si llevan adjuntos y también en pensar que solo los ordenadores son responsables de ataques, si se quiere una buena seguridad hay que aplicarlo a todo dispositivo conectado a la red.
Un saludo