fbpx

Malware VPNfilter, US-CERT y FBI alertan sobre routers vulnerables

Inicio/Reporte de Seguridad, Sistemas y Seguridad/Malware VPNfilter, US-CERT y FBI alertan sobre routers vulnerables
  • Malware Routers VPNFilter

El Equipo de Respuesta ante Emergencias Informáticas del Departamento de Seguridad Nacional de los Estados Unidos lanza una alerta mundial sobre vulnerabilidad del malware VPNfilter en los siguientes sistemas:

  • Routers de pequeñas oficinas/domésticos (SOHO)
  • Dispositivos en red
  • Dispositivos de almacenamiento conectado a la red (NAS)

Los investigadores de seguridad cibernética han identificado que atacantes cibernéticos extranjeros han comprometido cientos de miles de enrutadores domésticos y de oficina y otros dispositivos de red en todo el mundo. Los cibercriminales utilizan el malware VPNFilter en enrutadores de pequeñas oficinas o domésticos (SOHO). El malware VPNFilter utiliza una funcionalidad modular para recopilar inteligencia, explotar dispositivos de red de área local (LAN) y bloquear el tráfico de red configurable por el atacante. Las características específicas de VPNFilter sólo se han observado en el malware BlackEnergy, específicamente las versiones 2 y 3 de BlackEnergy.

El Departamento de Seguridad Nacional (DHS) y el Buró Federal de Investigaciones (FBI) recomiendan que los propietarios de los routers SOHO reinicien los enrutadores SOHO y los dispositivos en red para interrumpir temporalmente el malware.

El DHS y el FBI alientan a los dueños de routers SOHO a que informen sobre actividades sospechosas o delictivas a su oficina de campo local del FBI o al Cyber Watch (CyWatch) del FBI activo 24/7. Los contactos de la oficina local se pueden obtener en www.fbi.gov/contact-us/field. Se puede contactar a CyWatch en Estados Unidos al teléfono al 855-292-3937 o por correo electrónico a CyWatch@fbi.gov. Cada informe presentado debe incluir tanta información como sea posible, específicamente la fecha, hora, ubicación, tipo de actividad, número de personas, el tipo de equipo utilizado, nombre de la empresa u organización que envía el reporte y datos de contacto.

Descripción de la amenaza del malware VPNFilter

El tamaño y el alcance de la infraestructura afectada por el malware de VPNFilter es importante. El malware VPNFilter persistente vinculado a esta infraestructura se dirige a una variedad de enrutadores SOHO y dispositivos de almacenamiento conectados a la red. El vector de exploit inicial para este malware es actualmente desconocido.

El malware utiliza una funcionalidad modular en los enrutadores SOHO para recopilar inteligencia, explotar dispositivos LAN y bloquear el tráfico de red configurable por el atacante. El malware puede inutilizar un dispositivo y tiene una funcionalidad destructiva en todos los enrutadores, dispositivos de almacenamiento conectados a la red y arquitecturas de la unidad de procesamiento central (CPU) que ejecutan Linux incorporado. El mecanismo de comando y control implementado por el malware utiliza una combinación de capa de sockets seguros (SSL) con certificados del lado del cliente para autenticación y protocolos TOR, lo que complica la detección y el análisis del tráfico de red.

Impacto del ataque

Las consecuencias negativas de la infección de malware VPNFilter incluyen:

  • Pérdida temporal o permanente de información confidencial o de propiedad exclusiva
  • Interrupción de las operaciones regulares
  • Pérdidas financieras incurridas para restaurar sistemas y archivos
  • Daño potencial a la reputación de una organización.

Posible solución

El DHS y el FBI recomiendan que todos los propietarios de routers SOHO que reinicien sus dispositivos para interrumpir temporalmente el malware.

Las interfaces de administración de dispositivos de red, como Telnet, SSH, Winbox y HTTP, deben estar desactivadas para las interfaces de red de área amplia (WAN) y, cuando estén habilitadas, protegidas con contraseñas seguras y cifrado. Los dispositivos de red deben actualizarse a las últimas versiones disponibles de firmware, que a menudo contienen parches para vulnerabilidades.

Reiniciar los dispositivos afectados hará que partes del malware no persistentes sean eliminadas del sistema. Los protectores de red deben asegurarse en una primera etapa que el malware se elimine de los dispositivos, y se implemente un bloqueo apropiado a nivel de red antes de reiniciar los dispositivos afectados. Esto asegurará que el malware de la segunda etapa no se descargue nuevamente después del reinicio.

Si bien las rutas en cada etapa del malware pueden variar a través de las distintas plataformas y dispositivos, los procesos que se ejecutan con el nombre “vpnfilter” son casi con seguridad instancias del malware de segunda etapa. Terminar estos procesos y eliminar los procesos asociados y los archivos persistentes que ejecutan el malware de la segunda etapa probablemente eliminen este malware de los dispositivos específicos.

Sobre el Autor:

Somos una empresa tecnológica mexicana, ofrecemos servicios de alojamiento web, desarrollo y diseño web. Proveemos plataformas profesionales para impulsar el crecimiento de empresas mexicanas.

Deja un Comentario

 

This site uses Akismet to reduce spam. Learn how your comment data is processed.