El FBI recomienda que todos los propietarios de pequeños negocios y enrutadores domésticos reinicien los dispositivos, incluso si no se encuentran entre las marcas que se sabe se verán afectadas por un nuevo malware VPNFilter de Rusia.
El FBI está instando a las pequeñas empresas y hogares a reiniciar inmediatamente los enrutadores. Esto siguiendo el informe de Cisco de que 500,000 dispositivos infectados. Ya que estos podrían ser destruidos con un solo comando con el malware VPNFilter de Rusia.
Contenidos de esta página
El malware VPNFilter de Rusia estaría patrocinado por el estado ruso según el FBI
El malware, denominado VPNFilter, fue desarrollado por el grupo de piratería patrocinado por el estado ruso Sofacy. También conocido como Fancy Bear y APT28. Ya que la semana pasada obtuvo una orden de captura de un dominio utilizado para controlar los enrutadores infectados.
Los investigadores de Cisco Talos Intelligence revelaron en un informe la semana pasada que 500,000 enrutadores hechos por Linksys, MikroTik, Netgear y TP-Link habían sido infectados con VPNFilter.
El malware VPNFilter de Rusia es capaz de recoger el tráfico enviado a través de enrutadores infectados. Así como las credenciales del sitio web.
Sin embargo, la capacidad más preocupante es que el malware permite a sus controladores borrar una parte del firmware de un dispositivo infectado, dejándolo inútil. Los atacantes pueden destruir selectivamente un solo dispositivo o borrar todos los dispositivos infectados a la vez.
Cisco lanzó el informe el miércoles después de observar un aumento este mes en las infecciones en Ucrania, que acusó a Rusia de planear un ataque para coincidir con la final de la Copa de Campeones del sábado en Kiev.
El país también culpó a Rusia por los ataques NotPetya del pasado mes de junio que afectaron principalmente a las organizaciones de Ucrania. Pero también se extendieron dentro de corporaciones multinacionales con oficinas en Ucrania.
Los usuarios de routers deben estar alertas
Los usuarios con enrutadores infectados pueden eliminar los peligrosos componentes de Stage 2 y Stage 3 de VPNFilter reiniciando el dispositivo. Sin embargo, la Etapa 1 de VPNFilter persistirá después de un reinicio, permitiendo potencialmente que los atacantes reinfecten los enrutadores comprometidos.
La dirección web que el FBI incautó el miércoles, ToKnowAll [.] Com, podría haber sido utilizada para reinstalar el malware Stage 2 y Stage 3, pero todo el tráfico a esta dirección ahora se dirige a un servidor bajo el control del FBI.
Sin embargo, el FBI está instando a todos los propietarios de enrutadores pequeños y de oficinas a que reinicien los dispositivos. Inclusive si no fueron fabricados por uno de los proveedores afectados. Esto ayudará a neutralizar la amenaza y ayudará al FBI a identificar los dispositivos infectados.
«El FBI recomienda que cualquier propietario de pequeñas oficinas y enrutadores domésticos reinicie los dispositivos para interrumpir temporalmente el malware y ayudar a la posible identificación de dispositivos infectados», dijo el FBI en un anuncio de servicio público.
TAMBI»Se recomienda a los propietarios que consideren la desactivación de la configuración de administración remota en los dispositivos y la seguridad con contraseñas seguras y cifrado cuando estén habilitados. Los dispositivos de red deberían actualizarse a las últimas versiones disponibles de firmware».
El FBI reseñó de una lista de dispositivos infectados conocidos
El Departamento de Justicia dijo que el servidor controlado por el FBI con el que se comunican los dispositivos infectados recopilará las direcciones IP de cada dispositivo.
Las direcciones se comparten con el grupo de seguridad cibernética sin fines de lucro, The Shadowserver Foundation. Ya que diseminará las direcciones a los CERT e ISP extranjeros. El FBI y el DHS CERT de EE.UU También han notificado a algunos ISP.
No se sabe cómo los atacantes infectaron inicialmente los enrutadores. Pero Symantec señaló en su informe sobre el malware VPNFilter de Rusia que muchos de ellos tienen vulnerabilidades conocidas.
«Se sabe que la mayoría de los dispositivos identificados usan credenciales predeterminadas y / o tienen exploits conocidos, particularmente para versiones anteriores. Actualmente no hay ninguna indicación de que la explotación de las vulnerabilidades de día cero esté involucrada en la diseminación de la amenaza», escribieron los investigadores de Symantec.
Los dispositivos infectados con el malware VPNFilter de Rusia conocidos, incluyen:
- Linksys E1200
- Linksys E2500
- WRVS4400N de Linksys
- MikroTik RouterOS para enrutadores Cloud Core: versiones 1016, 1036 y 1072
- Netgear DGN2200
- R6400 de Netgear
- Netgear R7000
- El R8000 de Netgear
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Otros dispositivos QNAP NAS que ejecutan el software QTS
- TP-Link R600VPN
Fuente: zdnet.com
Recomendaciones similares: