Desde que se descubrió hace unas semanas, el malware que secuestra routers es ahora más peligroso.
Este malware se ha convertido en una nueva y aterradora amenaza que ataca los enrutadores y los dispositivos de almacenamiento conectados a la red, habiéndose infiltrado en medio millón de routers de 54 países.
Se sospecha que el malware, conocido como VPNFilter, proviene de un grupo de piratería (patrocinado por el gobierno ruso) conocido como Sofancy o Fancy Bear. Este grupo también es culpable de varios ataques cibernéticos, incluidos serios intentos de irrumpir en las elecciones estadounidenses de 2016.
Debido al peligro que representa para los consumidores, el FBI ha enviado una solicitud urgente a cualquier persona que sea propietaria de los dispositivos afectados para reiniciarlos de inmediato.
Sin embargo, si tienes un enrutador o NAS afectado, reiniciar no es suficiente. La única forma de eliminar por completo la infección de tu dispositivo es realizar un restablecimiento de fábrica.
Este malware es una amenaza muy importante ya que es capaz de espiar, recopilar datos, reinfectar, redireccionar el tráfico e incluso puede inutilizar tu enrutador.
Ahora, han surgido nuevos detalles sobre VPNFilter y parece que es más poderoso y extendido de lo que se pensaba originalmente.
VPNFilter es peor de lo que se pensaba
Según un nuevo informe de los investigadores de seguridad de Cisco Talos, VPNFilter apunta a un número significativamente mayor de marcas y modelos de los que inicialmente se indicaron.
Cisco Talos también descubrió que VPNFilter ha adquirido habilidades adicionales, incluido un módulo de ataque hombre-en-el-medio (man-in-the-middle) ahora conocido como «ssler».
Este módulo puede inyectar contenido malicioso en tu tráfico web y modificarlo a medida que fluye a través de un enrutador infectado. También puede robar tus contraseñas y otros datos confidenciales al interceptar tu tráfico de red.
Otro módulo nuevo, denominado Módulo de destrucción del dispositivo (Device Destruction Module o dstr), también puede agregar el Killswitch de autodestrucción a dispositivos infectados que no tienen la capacidad de defenderse.
Por lo tanto, aparte de ensamblar botnets masivas para derribar sitios web con ataques DDoS y derribar números masivos de enrutadores con su conmutador kill incorporado, estas nuevas capacidades implican que VPNFilter puede usarse para estafas de phishing y robo de identidad.
Con este nivel de funciones (tipo navaja suiza), VPNFilter es una amenaza crítica, no solo para el consumidor medio, sino también para sectores industriales y gubernamentales clave.
Cómo funciona VPNFilter
Para entender cómo VPNFilter aparentemente puede obtener características adicionales y hacerse más poderoso con el tiempo, la infección aparentemente funciona en múltiples etapas:
Etapa 1: esta instalación inicial se utiliza para obtener un punto de apoyo constante en tu dispositivo, lo que le permite sobrevivir incluso después de un reinicio.
Esta etapa también se utiliza para mantener el contacto con su centro de comando y control para obtener más instrucciones.
Etapa 2: la carga principal. En este punto, puede ejecutar comandos, recopilar archivos, interceptar datos y configurar tu dispositivo.
Esta es también la etapa en que se instalan sus características autodestructivas. Al hacerse cargo de una sección del firmware de tu dispositivo, los atacantes pueden eliminar el malware de forma remota y dejar el enrutador inutilizable.
Etapa 3: se instalan complementos o módulos adicionales, que proporcionan a VPNFilter capacidades adicionales, como espionaje de tráfico, robo de credenciales de sitios web y comunicaciones seguras a través de la red Tor.
La etapa 3 es donde VPNFilter obtiene habilidades adicionales a través de nuevos módulos.
Lista actualizada: ¿está afectado tu router?
Cisco Talos también agregó más marcas y modelos a la lista específica de enrutadores afectados.
Es significativamente más grande que la lista anterior. Por lo que es mejor revisar tu enrutador ahora y ver si está afectado. Se estima que 200.000 enrutadores adicionales están ahora en riesgo de ser infectados con VPNFilter.
Aquí está la lista actualizada de dispositivos específicos.
Dispositivos Asus: RT-AC66U (nuevo); RT-N10 (nuevo); RT-N10E (nuevo); RT-N10U (nuevo); RT-N56U (nuevo); RT-N66U (nuevo)
Dispositivos D-Link: DES-1210-08P (nuevo); DIR-300 (nuevo); DIR-300A (nuevo); DSR-250N (nuevo); DSR-500N (nuevo); DSR-1000 (nuevo); DSR-1000N (nuevo)
Dispositivos Huawei: HG8245 (nuevo)
Dispositivos Linksys: E1200; E2500; E3000 (nuevo); E3200 (nuevo); E4200 (nuevo); RV082 (nuevo); WRVS4400N
Dispositivos Mikrotik: CCR1009 (nuevo); CCR1016; CCR1036; CCR1072; CRS109 (nuevo); CRS112 (nuevo); CRS125 (nuevo); RB411 (nuevo); RB450 (nuevo); RB750 (nuevo); RB911 (nuevo); RB921 (nuevo); RB941 (nuevo); RB951 (nuevo); RB952 (nuevo); RB960 (nuevo); RB962 (nuevo); RB1100 (nuevo); RB1200 (nuevo); RB2011 (nuevo); RB3011 (nuevo); RB Groove (nuevo); RB Omnitik (nuevo); STX5 (nuevo)
Dispositivos Netgear: DG834 (nuevo); DGN1000 (nuevo); DGN2200; DGN3500 (nuevo); FVS318N (nuevo); MBRN3000 (nuevo); R6400; R7000; R8000; WNR1000; WNR2000; WNR2200(nuevo); WNR4000 (nuevo); WNDR3700 (nuevo); WNDR4000 (nuevo); WNDR4300 (nuevo); WNDR4300-TN (nuevo); UTM50 (nuevo)
Dispositivos QNAP: TS251; TS439 Pro; Otros dispositivos QNAP NAS que ejecutan el software QTS
TP-Link Devices: R600VPN; TL-WR741ND (nuevo); TL-WR841N (nuevo)
Dispositivos Ubiquiti: NSM2 (nuevo); PBE M5 (nuevo)
Dispositivos Upvel: Modelos desconocidos (nuevo)
Dispositivos ZTE: ZXHN H108N (nuevo)
