VPNFilter es el nuevo malware

VPNFilter es el nuevo malware

El FBI ha logrado tomar el control de un servidor clave en una botnet creada por un grupo de hackers rusos llamado Fancy Bear. El malware responsable de la infecci贸n, llamado VPNFilter, afecta al menos a unos 500.000 routers y NAS en todo el mundo.

Los expertos en seguridad de Cisco y de Symantec fueron los responsables de detectar esa amenaza global que seg煤n sus datos est谩 presente en 54 pa铆ses. Dispositivos de Linksys, MikroTik, NetGear y TP-Link est谩n afectados por el problema, pero el golpe de efecto del FBI le ha dado la vuelta a la situaci贸n.

Malware dirigido a tu router, no a tu PC

VPNFilter es la base de una de las mayores redes de dispositivos infectados descubiertas hasta la fecha por Talos, la divisi贸n de inteligencia de ciber-seguridad de Cisco. La gran mayor铆a de equipos est谩n conectados directamente a Internet (sin mecanismos de seguridad intermedios), y coordinados a trav茅s de una red TOR privada (red an贸nima de dispositivos).

Como explican en Cisco, los atacantes podr铆an mediante esta botnet compartir datos entre los dispositivos y coordinar un ataque masivo utilizando los equipos como nodos. Al incluir un 鈥榢ill switch鈥 (interruptor de apagado), tambi茅n podr铆a destruir los equipos dej谩ndolos inoperativos y eliminar el acceso a Internet para cientos de miles de usuarios, adem谩s de inspeccionar el tr谩fico y robar datos confidenciales.

Ucrania ha sufrido el mayor pico de infecciones, con un elevado incremento durante la primera quincena de mayo. El malware, denominado 鈥榁PNFilter鈥 al instalarse en dicho directorio, tiene similitudes de c贸digo con BlackEnergy, un malware que ya fue responsable de m煤ltiples ataques a gran escala a dispositivos en Ucrania. Este mismo grupo de hackers logr贸 interferir en la campa帽a electoral de Hillary Clinton en 2016.

El FBI contraataca

La detecci贸n del malware en un router dom茅stico en Pittsburgh permiti贸 al FBI analizar el malware y tratar de buscar puntos d茅biles. Los encontraron: si la v铆ctima reiniciaba el router infectado, los plugins maliciosos desaparec铆an aunque el c贸digo base del malware segu铆a presente.



El an谩lisis de ese c贸digo permiti贸 desvelar su funcionamiento: en primer lugar comprobaba im谩genes en Photobucket que ocultaban informaci贸n en sus metadatos, y si no las encontraba se conectaba a un punto de control auxiliar en la URL ToKnowAll.com.

Eso le dio al FBI la pista a seguir: pidieron una orden judicial para tomar control de dicho dominio, lo que permiti贸 al FBI meterse de lleno en las operaciones de esta botnet. Con esa toma de control el FBI pudo evitar buena parte de la amenaza: "el malware no es persistente y no sobrevivir谩 si se reinicia el router", explicaban los expertos de Symantec.

Gracias al acceso a ese dominio los expertos del FBI est谩n recolectando las direcciones IP de todos los routers afectados que est谩n "llamando a casa", algo que permitir谩 erradicar el problema. En Symantec destacaban que aunque algunos proveedores de internet pueden reiniciar los routers de forma remota, tambi茅n est谩n enviando mensajes a los afectados para reiniciar sus dispositivos.

La orden judicial solo permite al FBI recolectar metadatos como la direcci贸n IP de la v铆ctima, pero no el contenido de las comunicaciones que se realizan ni se realizaron en el pasado. "No hay datos que se filtren desde esos routers al dominio que ahora est谩 controlado por la agencia, explicaba Vikram Thakur, director t茅cnico de Symantec.

驴C贸mo solucionar el problema?

Como revelan en Symantec, los usuarios de los dispositivos afectados deber铆an reiniciar esos dispositivos en cuanto les sea posible. Si lo hacen se eliminar谩n los componentes destructivos de VPNFilter, algo que hace recomendable (comos siempre) la actualizaci贸n a nuevas versiones del firmware de esos dispositivos que corrigen el problema.

Si queremos estar seguros del todo, otra opci贸n es hacer un "hard reset" del dispositivo, que hace que 茅ste se inicie con la configuraci贸n de f谩brica. Esta acci贸n, eso s铆, elimina detalles de configuraci贸n y credenciales que hubi茅semos almacenado, y de las que debemos tener una copia de seguridad.

Contáctenos

Escriba su consulta y un asesor se comunicará con usted. Todos los campos son requeridos.