Inicio » VPNFilter: nuevo malware de enrutador con capacidades destructivas
CIBERSEGURIDAD

VPNFilter: nuevo malware de enrutador con capacidades destructivas

VPN Malware

A diferencia de la mayoría de otras amenazas de IoT, el malware puede sobrevivir al reinicio.

Una nueva amenaza que apunta a una gama de enrutadores y dispositivos NAS es capaz de noquear a los dispositivos infectados haciéndolos inutilizables. El malware, conocido como VPNFilter, es diferente a la mayoría de las otras amenazas de IoT porque es capaz de mantener una presencia persistente en un dispositivo infectado, incluso después de un reinicio. VPNFilter tiene una gama de capacidades que incluye espiar el tráfico que se enruta a través del dispositivo. Sus creadores parecen tener un interés particular en los sistemas de control industrial SCADA, creando un módulo que intercepta específicamente las comunicaciones Modbus SCADA.

Según una nueva investigación de Cisco Talos, la actividad relacionada con el malware ha aumentado en las últimas semanas y los atacantes parecen estar particularmente interesados ​​en los objetivos en Ucrania. Si bien VPNFilter se ha extendido ampliamente, los datos de los honeypots y sensores de Symantec indican que, a diferencia de otras amenazas de IoT como Mirai, no parece estar escaneando e intentando indiscriminadamente infectar a todos los dispositivos vulnerables a nivel mundial.

P: ¿Qué dispositivos se sabe que están afectados por VPNFilter?

R: Hasta la fecha, se sabe que VPNFilter es capaz de infectar enrutadores de empresas, oficinas pequeñas y oficinas domésticas de Linksys, MikroTik, Netgear y TP-Link, así como dispositivos de almacenamiento conectado a la red (NAS) de QNAP. Éstas incluyen:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS para enrutadores Cloud Core: versiones 1016, 1036 y 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Otros dispositivos QNAP NAS que ejecutan el software QTS
  • TP-Link R600VPN

P: ¿Cómo infecta VPNFilter a los dispositivos afectados?

R: La mayoría de los dispositivos identificados son conocidos por usar credenciales predeterminadas y / o tener exploits conocidos, particularmente para versiones anteriores. No hay ninguna indicación en este momento de que la explotación de las vulnerabilidades de día cero esté involucrada en la diseminación de la amenaza.

P: ¿Qué hace VPNFilter con un dispositivo infectado?

R: VPNFilter es una pieza de malware de varias etapas. La etapa 1 se instala primero y se usa para mantener una presencia persistente en el dispositivo infectado y se comunicará con un servidor de comando y control (C & C) para descargar más módulos.

La etapa 2 contiene la carga principal y es capaz de recopilar archivos, ejecutar comandos, exfiltrar datos y administrar dispositivos. También tiene una capacidad destructiva y puede “bloquear” efectivamente el dispositivo si recibe un comando de los atacantes. Lo hace sobrescribiendo una sección del firmware del dispositivo y reiniciando, dejándolo inutilizable.

Hay varios módulos conocidos de la Etapa 3, que actúan como complementos para la Etapa 2. Estos incluyen un rastreador de paquetes para espiar el tráfico que se enruta a través del dispositivo, incluido el robo de credenciales del sitio web y la supervisión de los protocolos Modbus SCADA. Otro módulo de la Etapa 3 permite que la Etapa 2 se comunique usando Tor.

P: Si tengo un dispositivo afectado, ¿qué debo hacer?

R: Se recomienda a los usuarios de los dispositivos afectados que los reinicien de inmediato. Si el dispositivo está infectado con VPNFilter, el reinicio eliminará la Etapa 2 y cualquier elemento de la Etapa 3 presente en el dispositivo. Esto eliminará (temporalmente) al menos el componente destructivo de VPNFilter. Sin embargo, si está infectado, la presencia continuada de la Etapa 1 significa que las Etapas 2 y 3 pueden ser reinstaladas por los atacantes.

A continuación, debe aplicar los últimos parches disponibles a los dispositivos afectados y asegurarse de que ninguno use las credenciales predeterminadas.

P: Si la etapa 1 de VPNFilter persiste incluso después de reiniciar, ¿hay alguna forma de eliminarla?

A: Sí. Al realizar un restablecimiento completo del dispositivo, que restablece la configuración de fábrica, debe limpiarse y eliminarse la Etapa 1. Con la mayoría de los dispositivos, esto se puede hacer manteniendo presionado un pequeño interruptor de reinicio cuando se apaga y enciende el dispositivo. Sin embargo, tenga en cuenta que los detalles de configuración o credenciales almacenados en el enrutador se deben respaldar, ya que se borrarán mediante un restablecimiento completo.

P: ¿Qué intentan hacer los atacantes con la capacidad destructiva de VPNFilter?

R: Esto es actualmente desconocido. Una posibilidad es usarlo con fines disruptivos, al incluir una gran cantidad de dispositivos infectados. Otra posibilidad es un uso más selectivo para encubrir la evidencia de ataques.

Agradecimiento: Symantec desea agradecer a Cisco Talos y Cyber ​​Threat Alliance por compartir información sobre esta amenaza antes de la publicación.

ACTUALIZACIÓN: Netgear está informando a los clientes que, además de aplicar las últimas actualizaciones de firmware y cambiar las contraseñas predeterminadas, los usuarios deben asegurarse de que la administración remota esté apagada en su enrutador. La administración remota está desactivada de manera predeterminada y solo se puede activar utilizando la configuración avanzada del enrutador. Para desactivarlo, deben ir a www.routerlogin.net en su navegador e iniciar sesión usando sus credenciales de administrador. A partir de ahí, deben hacer clic en “Avanzado” seguido de “Administración remota”. Si está seleccionada la casilla de verificación “Activar la administración remota”, desactívela y haga clic en “Aplicar” para guardar los cambios.

ACTUALIZACIÓN 24 de mayo de 2018: El FBI ha anunciado que ha tomado medidas inmediatas para interrumpir VPNFilter, asegurando una orden judicial, autorizándola a apoderarse de un dominio que es parte de la infraestructura de comando y control del malware. 

Mientras tanto, Linksys aconseja a los clientes cambiar periódicamente las contraseñas de administración y garantizar que el software se actualice periódicamente. Si creen que se han infectado, se recomienda restablecer el enrutador de fábrica. Las instrucciones completas se pueden encontrar aquí.

MikroTik ha dicho que es muy seguro que cualquiera de sus dispositivos infectados por VPNFilter haya instalado el malware a través de una vulnerabilidad en el software MikroTik RouterOS, que fue parcheado por MikroTik en marzo de 2017. La actualización del software RouterOS elimina VPNFilter, cualquier otro archivo de terceros y corrige la vulnerabilidad.

Respuesta de seguridad de Symantec

Equipo de respuesta de seguridad

La organización Security Response de Symantec desarrolla y despliega nuevo contenido de seguridad para los clientes de Symantec. Nuestro equipo de analistas de amenazas globales opera las 24 horas, los 7 días de la semana, para realizar un seguimiento de los desarrollos en el panorama de las amenazas y proteger a los clientes de Symantec.