El FBI está recomendando a las empresas y hogares, reiniciar lo antes posible los enrutadores; esto basado en un informe de Cisco de que 500,000 dispositivos infectados podrían ser destruidos con un solo comando.
Expertos en seguridad informática comentaron que, el malware denominado VPNFilter, fue desarrollado por el grupo de hackers rusos Sofacy, conocidos también como Fancy Bear y APT28. El FBI confirmo la información, ya que la semana pasada obtuvo una orden de captura de un dominio utilizado para controlar los enrutadores infectados.
Cisco Talos Intelligence revelo en un informe que 500,000 enrutadores hechos por Linksys, MikroTik, Netgear y TP-Link habían sido infectados con VPNFilter.
Este malware recoge el tráfico enviado a través de enrutadores infectados, como las credenciales del sitio web. Pero la capacidad más preocupante es que el malware autoriza a los actores maliciosos borrar una parte del firmware de un dispositivo infectado, dejándolo inservible.
De acuerdo a los profesionales en
seguridad informatica, los hackers podrían destruir selectivamente un solo dispositivo o todos los dispositivos infectados a la vez.
En un informe, la semana pasada Cisco después de observar un aumento en infecciones en Ucrania, acusó a Rusia de planear un ataque para coincidir con la final de la Liga de Campeones del sábado en Kiev.
El país de igual manera culpó a Rusia por los ataques NotPetya del año pasado que afectaron a organizaciones de Ucrania y se extendieron dentro de corporaciones multinacionales con oficinas en Ucrania.
Los usuarios con enrutadores infectados pueden eliminar los peligros de Stage 2 y Stage 3 de VPNFilter reiniciando el dispositivo, comentaron expertos en seguridad informática. También comentaron que la Etapa 1 de VPNFilter persistirá después de un reinicio, permitiendo que los atacantes re infecten los enrutadores comprometidos.
El miércoles el FBI incauto la dirección web, ToKnowAll . Com, la cual podría haber sido utilizada para reinstalar el malware Stage 2 y Stage 3, ahora todo el tráfico a esta dirección se dirige a un servidor bajo el control del FBI.
Sin embargo, el FBI está recomendando a todos los propietarios de enrutadores a que reinicien los dispositivos, incluso si no fueron fabricados por los proveedores afectados. Esto ayudará a neutralizar la amenaza e identificar los dispositivos infectados.
“El FBI recomienda que cualquier propietario de enrutadores reinicie los dispositivos para interrumpir temporalmente el malware y ayudar a la posible identificación de dispositivos infectados”, dijo el FBI en un anuncio público.
“Se recomienda a los propietarios que consideren la desactivación de la configuración de administración remota en los dispositivos y la seguridad con contraseñas seguras y cifrado cuando estén habilitados. Los dispositivos de red deben actualizarse a las últimas versiones disponibles de firmware”, agrega el comunicado.
Expertos en
seguridad informatica dijeron que el servidor controlado por el FBI con el que se comunican los dispositivos infectados recopilará las direcciones IP de los dispositivos.
Las direcciones se comparten con un grupo de seguridad informatica sin fines de lucro, que disemina las direcciones a los CERT e ISP extranjeros.
Aun no se sabe cómo los atacantes infectaron inicialmente los enrutadores, pero Symantec señaló en un informe sobre VPNFilter que muchos de ellos tienen vulnerabilidades críticas.
“En su mayoría, los dispositivos identificados usan credenciales predeterminadas y / o tienen exploits, particularmente para versiones anteriores. Actualmente no hay ninguna indicación de que la explotación de las vulnerabilidades de día cero esté involucrada en la diseminación de la amenaza”, escribieron los investigadores.
Los dispositivos infectados conocidos incluyen:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- MikroTik RouterOS para enrutadores Cloud Core: versiones 1016, 1036 y 1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Otros dispositivos QNAP NAS que ejecutan el software QTS
- TP-Link R600VPN