News

VPNFilter: nuevo malware para routers se propaga a “una velocidad alarmante”

Cisco Talos ha descubierto un programa malicioso que se ha esparcido en más de 500.000 routers Wi-Fi y de banda ancha distribuidos en todo el mundo.

El malware se conoce como VPNFilter e infecta varios modelos de dispositivos de los fabricantes más populares, incluyendo Netgear, MikroTik, Linksys y TP-Link. Los dispositivos están diseñados para su uso en redes SOHO en espacios domiciliarios y de pequeñas empresas, así como en dispositivos de almacenamiento conectado en red (NAS) con redes QNAP añadidas.

La amenaza se ha descubierto en más de 54 países pero está causando problemas notorios en Ucrania, donde tanto los expertos de Cisco como las autoridades del país advirtieron que los atacantes parecen estar prestando particular atención a la difusión en Ucrania. “Aunque nuestras investigaciones no tienen conclusiones definitivas, hemos observado que VPNFilter, un malware destructivo, está infectando de forma activa a los usuarios de Ucrania a una velocidad alarmante, utilizando una infraestructura de comando y control (C2) dedicada especialmente a ese país”, dijeron los investigadores de Talos. No se sabe cómo se está expandiendo con tanta velocidad, pero sí se sabe que el programa está explotando vulnerabilidades conocidas.

Talos dijo que sus investigaciones siguen en curso, pero que por el momento ha descubierto que el malware permite a los atacantes espiar el tráfico de los equipos afectados, robar credenciales de sitios web e inmiscuirse en el tráfico de dispositivos SCADA que se usan para el control de máquinas industriales.

Además de sus capacidades de espionaje, el programa malicioso puede dejar sin acceso a Internet a los usuarios de los dispositivos y causar daños a los dispositivos infectados para que dejen de funcionar.

Los investigadores de Cisco recalcaron las dificultades e imprecisiones de tratar de definir quiénes son los responsables de estas amenazas, pero notaron similitudes entre este ataque y otros ataques previos promovidos por gobiernos que utilizan estos programas para recolectar datos de países, compañías e individuos rivales. “El código de este programa malicioso en particular tiene similitudes con algunas versiones del malware BlackEnergy, responsable de muchos ataques a gran escala que estaban dirigidos a dispositivos en Ucrania”, informaron los expertos del equipo Talos.

Los investigadores se han puesto en contacto con los fabricantes involucrados para alertarles sobre el problema y ayudarles a desarrollar los parches necesarios para neutralizarlo. Mientras tanto, han aconsejado a los dueños y administradores de routers domésticos o para pequeñas oficinas que restauren los dispositivos a su configuración de fábrica para eliminar cualquier posible infección.

Fuentes
500,000 Devices Infected With Malware That Could Cut Users Off From The Internet • Fortune Magazine
Malware That Can Brick Wi-Fi Routers Hits 500,000 Devices • PC Magazine
Advanced VPNFilter malware menacing routers worldwide • The Register

VPNFilter: nuevo malware para routers se propaga a “una velocidad alarmante”

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada