Cisco Talos ha descubierto un programa malicioso que se ha esparcido en más de 500.000 routers Wi-Fi y de banda ancha distribuidos en todo el mundo.
El malware se conoce como VPNFilter e infecta varios modelos de dispositivos de los fabricantes más populares, incluyendo Netgear, MikroTik, Linksys y TP-Link. Los dispositivos están diseñados para su uso en redes SOHO en espacios domiciliarios y de pequeñas empresas, así como en dispositivos de almacenamiento conectado en red (NAS) con redes QNAP añadidas.
La amenaza se ha descubierto en más de 54 países pero está causando problemas notorios en Ucrania, donde tanto los expertos de Cisco como las autoridades del país advirtieron que los atacantes parecen estar prestando particular atención a la difusión en Ucrania. “Aunque nuestras investigaciones no tienen conclusiones definitivas, hemos observado que VPNFilter, un malware destructivo, está infectando de forma activa a los usuarios de Ucrania a una velocidad alarmante, utilizando una infraestructura de comando y control (C2) dedicada especialmente a ese país”, dijeron los investigadores de Talos. No se sabe cómo se está expandiendo con tanta velocidad, pero sí se sabe que el programa está explotando vulnerabilidades conocidas.
Talos dijo que sus investigaciones siguen en curso, pero que por el momento ha descubierto que el malware permite a los atacantes espiar el tráfico de los equipos afectados, robar credenciales de sitios web e inmiscuirse en el tráfico de dispositivos SCADA que se usan para el control de máquinas industriales.
Además de sus capacidades de espionaje, el programa malicioso puede dejar sin acceso a Internet a los usuarios de los dispositivos y causar daños a los dispositivos infectados para que dejen de funcionar.
Los investigadores de Cisco recalcaron las dificultades e imprecisiones de tratar de definir quiénes son los responsables de estas amenazas, pero notaron similitudes entre este ataque y otros ataques previos promovidos por gobiernos que utilizan estos programas para recolectar datos de países, compañías e individuos rivales. “El código de este programa malicioso en particular tiene similitudes con algunas versiones del malware BlackEnergy, responsable de muchos ataques a gran escala que estaban dirigidos a dispositivos en Ucrania”, informaron los expertos del equipo Talos.
Los investigadores se han puesto en contacto con los fabricantes involucrados para alertarles sobre el problema y ayudarles a desarrollar los parches necesarios para neutralizarlo. Mientras tanto, han aconsejado a los dueños y administradores de routers domésticos o para pequeñas oficinas que restauren los dispositivos a su configuración de fábrica para eliminar cualquier posible infección.
Fuentes
500,000 Devices Infected With Malware That Could Cut Users Off From The Internet • Fortune Magazine
Malware That Can Brick Wi-Fi Routers Hits 500,000 Devices • PC Magazine
Advanced VPNFilter malware menacing routers worldwide • The Register
VPNFilter: nuevo malware para routers se propaga a “una velocidad alarmante”