¿Es su router vulnerable al VPN Filter Malware?

El Departamento de Justicia instó la semana pasada a todos los que tengan una pequeña oficina en casa o un dispositivo NAS a que reinicien sus dispositivos inmediatamente para frustrar VPN Filter, una nueva variedad de malware que puede dañar su router.

Security Watch The FBI se apoderó de un dominio utilizado para enviar comandos a los dispositivos infectados, pero no puede hacer daño reiniciar de todos modos.

Como describe Symantec, VPN Filter es “una pieza de malware de varias etapas”. La Etapa 1 establece la conexión, la Etapa 2 entrega los productos y la Etapa 3 actúa como complementos para la Etapa 2. “Incluyen un rastreador de paquetes para espiar el tráfico que se enruta a través del dispositivo, incluido el robo de credenciales del sitio web y la supervisión de los protocolos Modbus SCADA . Otro módulo de la Etapa 3 permite que la Etapa 2 se comunique usando Tor. “

VPNFilter “es diferente a la mayoría de las otras amenazas de IoT porque es capaz de mantener una presencia persistente en un dispositivo infectado, incluso después de reiniciarlo”, dice Symantec.

Aun así, “reiniciar eliminará la Etapa 2 y cualquier elemento de la Etapa 3 presente en el dispositivo, [eliminando temporalmente] el componente destructivo de VPNFilter. Sin embargo, si está infectado, la presencia continua de la Etapa 1 significa que las Etapas 2 y 3 pueden ser reinstaladas por el atacantes”.

Aquellos que crean que están infectados deben hacer un restablecimiento completo, que restaura la configuración de fábrica. Busque un pequeño botón de reinicio en su dispositivo, aunque esto borrará cualquier credencial que haya almacenado en el dispositivo.

A continuación se muestra una lista de enrutadores identificados por Symantec como vulnerables a VPN Filter. MikroTik dice que Symantec VPN Filter probable que proliferó a través de un error en el software MikroTik RouterOS, que parcheado en de marzo de 2017. “Actualización de software RouterOS elimina VPNFilter, cualquier otro archivo de terceros y parches de la vulnerabilidad”, dice Symantec.

Netgear “recomienda encarecidamente [s] a todos los propietarios de enrutadores de Netgear” que: actualicen el firmware de su enrutador; cambiar la contraseña de administrador predeterminada si nunca se actualizó; y asegúrese de que la administración remota esté desactivada en el enrutador (así es como).

Linksys E1200

Linksys E2500

Linksys WRVS4400N

Mikrotik RouterOS para enrutadores Cloud Core: versiones 1016, 1036 y 1072

Netgear DGN2200

Netgear R6400

Netgear R7000

Netgear R8000

Netgear WNR1000

Netgear WNR2000

QNAP TS251

QNAP TS439 Pro

Otros dispositivos QNAP NAS que ejecutan el software QTS

TP-Link R600VPN

“No se ha observado que otros proveedores, incluido Cisco, estén infectados por VPNFilter, pero nuestra investigación continúa”, según Cisco Talos, que informó por primera vez del error.

Hasta la fecha, Cisco Talos estima que al menos 500,000 en al menos 54 países han sido afectados por VPNFilter.

Los federales están fijando este ataque en Fancy Bear, un grupo de piratería también conocido como APT28 y Sofacy Group, entre otros monikers. El grupo es conocido por atacar a los gobiernos de todo el mundo y por robar archivos confidenciales del Comité Nacional Demócrata durante las elecciones de 2016.

Fuente: Chloe Albanesius

 

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.