Según los últimos informes y datos, recientemente, un malware puede haber infectado a cerca de 500.000 hogares y pequeñas empresas. enrutadores que tienen la capacidad de recopilar contraseñas, realizar ataques a otros dispositivos y deshabilitar permanentemente el máquinas.
Un malware puede haber infectado a unos 500.000 enrutadores domésticos y de pequeñas empresas. Conocido como VPNFilter, es capaz de recopilar contraseñas, realizar ataques a otros dispositivos y deshabilitar permanentemente las máquinas.
La información fue divulgada por investigadores de Talos, la unidad de inteligencia de Cisco. Según ellos, algunos enrutadores fabricados por Linksys, MikroTik, Netgear, TP-Link y otros dispositivos de QNAP están expuestos.
El informe Talos indica que el ataque se lleva a cabo desde 2016 y ya ha afectado a dispositivos en al menos 54 países. La compañía investiga a los ciberdelincuentes hace unos meses y dice que los ataques han aumentado rápidamente en las últimas tres semanas. Por esta razón, decidió publicar un informe incluso antes de que su investigación estuviera lista.
Los investigadores dicen que el malware puede usarse para una variedad de propósitos. “Dado que los dispositivos afectados son propiedad de empresas o particulares, las actividades maliciosas realizadas desde dispositivos se pueden atribuir erróneamente a aquellos que en realidad fueron víctimas ”, dijo William Largent, un Talos investigador.
El FBI confiscó uno de los dominios utilizados en el ataque. Según las autoridades estadounidenses, fue utilizado por piratas informáticos del gobierno ruso. En su informe, Talos no hizo referencia a ningún país, pero dijo que VPNFilter reutiliza partes de BlackEnergy, un malware utilizado en el ataque vinculado al gobierno ruso. Uno de esos ataques se llevó a cabo en diciembre de 2016 e incluso provocó un apagón en Ucrania.
La acción VPNFilter se realiza en tres pasos. En el primero, el malware se instala y puede hacer presencia permanente en el dispositivo. Luego intenta conectarse a un servidor de comando y control para descargar los siguientes módulos.
Para ello, se intenta descargar una imagen alojada en Photobucket. Los metadatos del archivo indican la dirección IP necesaria para seguir la segunda fase. Si el intento falla, el malware intenta descargar la imagen de toknowall.com, el dominio que habría sido utilizado por el gobierno ruso.
Si la conexión aún falla, el paso espera un comando de los ciberdelincuentes. En este caso, el malware guarda la IP pública del dispositivo para poder continuar con la acción.
La segunda fase tiene la carga más alta del ataque. Es capaz de recopilar archivos y datos, ejecutar comandos y administrar dispositivos. Es en este punto que VPNFilter obtiene la capacidad de deshabilitar el dispositivo desde el comando de los atacantes. Si deciden la medida, el malware sobrescribe una parte del firmware y reinicia el dispositivo, inutilizándolo.
Finalmente, la tercera etapa cuenta con módulos que funcionan como intermediarios de la segunda etapa. Uno de ellos puede analizar el tráfico enviado al dispositivo y es capaz de robar las credenciales insertadas en un sitio.
Otro módulo permite la comunicación a través de Tor. En su informe, Talos dice que puede haber otros módulos que aún no se han descubierto.
Los investigadores aún no saben exactamente cómo se infectan los dispositivos pero indican que el objetivo son aquellos que usan contraseñas estándar o tienen agujeros conocidos, principalmente por el uso de versiones más antiguas.
Las empresas de seguridad recomiendan que los usuarios realicen una restauración de fábrica en sus dispositivos. Generalmente, este proceso requiere mantener presionado el botón de encendido durante unos segundos. Después de restaurar, debe reconfigurar estos dispositivos.
Idealmente, debería cambiar las contraseñas predeterminadas, verificar que los dispositivos tengan las últimas versiones de firmware y, cuando sea posible, deshabilitar el acceso remoto.
No está claro para los investigadores si las medidas son efectivas en todos los casos, ya que los ciberdelincuentes también pueden estar explotando fallas que no se han abordado. Aún así, deberían ayudar a minimizar el riesgo.
Entonces, ¿qué opinas sobre esto? Simplemente comparta todas sus opiniones y pensamientos en la sección de comentarios a continuación.