Más de medio millón de routers y dispositivos de almacenamiento (NAS) en docenas de países han sido infectados con una pieza de malware que es una botnet de dispositivos IoT altamente sofisticado, probablemente diseñado por un grupo auspiciado por Rusia.
La unidad de inteligencia cibernética Talos de Cisco ha descubierto una pieza avanzada de malware que tiene como objetivo dispositivos IoT, denominado VPNFilter, que ha sido diseñado con capacidades versátiles para recopilar información de los usuarios, interferir con las comunicaciones de Internet y realizar operaciones destructivas de ataque cibernético, incluyendo la destrucción del propio dispositivo infectado.
El malware ya ha infectado más de 500,000 dispositivos en al menos 54 países, la mayoría de los cuales son routers hogareños y dispositivos de almacenamiento conectados a Internet de Linksys, MikroTik, NETGEAR y TP-Link. También se sabe que algunos dispositivos de almacenamiento conectado a la red (NAS) fueron también infectados.
VPNFilter es un malware modular de varias capas, que puede robar credenciales de sitios web y monitorear controles industriales o sistemas SCADA, que es un standard que es utilizado en redes eléctricas, otro tipo de infraestructura y fábricas.
El malware se comunica por Tor anonimizando la red e incluso contiene un killswitch para los routers, donde el malware se mata deliberadamente y en dicho proceso puede volver inútil al mismo dispositivo.
A diferencia de la mayoría de otros programas maliciosos que se enfocan en dispositivos de Internet de las cosas (IoT), la primera capa de VPNFilter puede sobrevivir a un reinicio del router, ganando un punto de apoyo constante en el dispositivo infectado y permitiendo el despliegue del malware de una segunda capa.
VPNFilter lleva el nombre de un directorio (/var/run/vpnfilterw) que el malware crea para ocultar sus archivos en un dispositivo infectado.
Dado que la investigación aún está en curso, los investigadores de Talos “no tienen pruebas definitivas de cómo el actor amenazante está explotando los dispositivos afectados”, pero creen firmemente que VPNFilter no explota ninguna vulnerabilidad de día cero para infectar a sus víctimas.
En cambio, el malware se dirige a dispositivos que aún están expuestos a vulnerabilidades públicas bien conocidas o que tienen credenciales predeterminadas, lo que hace que el compromiso sea relativamente sencillo.
Los investigadores de Talos piensan que el gobierno ruso es quien está detrás de VPNFilter porque el código de malware se superpone con las versiones de BlackEnergy, el malware responsable de los múltiples ataques a gran escala contra dispositivos en Ucrania que el gobierno de EE. UU. atribuyó a Rusia.
Los investigadores dijeron que dieron a conocer sus hallazgos antes de completar su investigación, debido a la preocupación por un posible ataque futuro contra Ucrania, que ha sido repetidamente víctima de ciberataques rusos, incluido un corte de energía a gran escala y NotPetya.
Si ya está infectado con el malware, haga un factory reset de su ruter a los valores predeterminados de fábrica para eliminar el malware potencialmente destructivo y actualice el firmware de su dispositivo lo antes posible.
Debe estar más atento a la seguridad de sus dispositivos inteligentes de IoT para evitar esos ataques de malware, se recomienda cambiar las credenciales predeterminadas de sus dispositivos IoT.
Si su router es vulnerable por defecto y no se puede actualizar, deséchelo y compre uno nuevo, así de simple. Su seguridad y privacidad vale más que el precio de un router.
Según ArsTechnica el FBI ha tomado el control de los nombre de dominio usados para hacer el Comando & Control de la botnet.