Público
Público

Ciberseguridad El 'malware' para routers VPNFilter es bastante peor de los que pensábamos

La infección por la que el mismísimo FBI pidió a los dueños de routers de ciertas marcas a reiniciarlos, en un intento por mitigar sus efectos, está mucho más extendido de lo que parecía al principio. Y sus efectos potenciales son devastadores.

Publicidad
Media: 3.75
Votos: 4

Imagen de un router D-Link DSR-250N

La amenaza de VPNFilter sigue creciendo. Si bien hace dos semanas se detectó este malware en más de 500.000 routers en 54 países, ahora un nuevo informe de Cisco Talos alerta de que la amenaza afecta a muchas más marcas y modelos de los que se pensaba al principio, y su potencial destructor es mayor: tiene la capacidad de robar datos e incluso inutilizar los dispositivos infectados.

Cisco Talos publicó por primera vez información sobre VPNFilter a finales de mayo. Ya entonces, el FBI hizo un llamamiento mundial para reiniciar una lista de modelos de routers y consiguió decomisar un servidor de comando y control del malware, pero la botnet resultante parece seguir activa.

Ahora, además, existen más datos sobre esta esta amenaza: afecta a más dispositivos de enrutamiento (routers) tanto domésticos como para pymes de lo que anteriormente se pensaba, de marcas como Linksys, MikroTik, NETGEAR y TP-Link, así como dispositivos NAS de QNAP.

La lista de routers afectados ha aumentado significativamente desde que se informó por primera vez de esta infección, y ahora incluye dispositivos de ASUS, D-Link, Huawei, Ubiquiti, UPVEL y ZTE.

"En los días transcurridos desde que publicamos nuestros hallazgos, hemos visto que VPNFilter apunta a más marcas y modelos de dispositivos de lo que inicialmente se pensaba, y tiene capacidades adicionales", informa Cisco Talos en su post oficial.

Esas capacidades adicionales descubiertas de VPNFilter incluyen eludir el cifrado SSL —por lo tanto, robar datos confidenciales— inyectar contenido malicioso en el tráfico web normal e infectar a otros dispositivos en la red.

Inquietantes capacidades

Inicialmente se pensaba que este poderoso malware tenía principalmente capacidades ofensivas, como ataques de enrutamiento en Internet, tal y como comenta ", comenta Craig Williams, responsable de Talos, en declaraciones a ArsTechnica, que añade: "Parece que [los atacantes] han evolucionado y ahora no sólo les permite hacer eso, sino que pueden manipular todo lo que pasa a través del dispositivo comprometido”.

Es decir, Williams sostiene que es posible, por ejemplo, modificar el saldo de una cuenta bancaria para que, por un lado, el usuario lo vea todo normal y, por otra, al mismo tiempo se esté desviando dinero y, potencialmente, claves PGP "y cosas por el estilo". "Pueden manipular todo lo que entra y sale del dispositivo", apunta este experto.

Otra mala noticia: no hay una manera fácil de saber si un router está infectado con VPNFilter, al menos a nivel usuario medio. Por eso, la mejor manera de afrontar este problema es asumir, si tienes un router de las marcas y modelos afectados, que probablemente está infectado.

Según Cisco Talos, el malware está principalmente activo en Ucrania, lo que ha disparado las sospechas sobre la posible participación rusa en esta "acción cibernética maliciosa".

El problema es que, aunque esté afectando a Ucrania sobre todo, nadie está completamente a salvo de VPNFilter. Su comportamiento es impredecible, recuerdan en Mashable, y cualquier persona con un dispositivo afectado debe tomar medidas para protegerse.

Empresas de seguridad informática como Symantec recomienda reiniciar inmediatamente el router si es uno de los que incluye la lista, que es bastante larga, y actualizar el firmware (el sistema operativo que hace funcionar el aparato) inmediatamente a continuación. O bien realizar un 'reseteado' del dispositivo y dejarlo con la configuración de fábrica.

Además, conviene aprovechar para cambiar las contraseñas predeterminadas y desactivar la administración remota, si es posible. Pese a estas medidas, no obstante, el router seguirá siendo vulnerable hasta que pueda desarrollarse un parche que evite la infección.

Asus:
RT-AC66U
RT-N10 
RT-N10E 
RT-N10U 
RT-N56U 
RT-N66U 

D-Link:
DES-1210-08P 
DIR-300 
DIR-300A 
DSR-250N
DSR-500N 
DSR-1000
DSR-1000N 

Huawei:
HG8245 

Linksys Devices:
E1200
E2500
E3000 
E3200 
E4200 
RV082 
WRVS4400N

Mikrotik Devices:
CCR1009
CCR1016
CCR1036
CCR1072
CRS109
CRS112 
CRS125 
RB411
RB450
RB750
RB911
RB921
RB941
RB951 
RB952
RB960 
RB962
RB1100 
RB1200 
RB2011 
RB3011 
RB Groove
RB Omnitik 
STX5

Netgear:
DG834 
DGN1000 
DGN2200
DGN3500
FVS318N
MBRN3000 
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200
WNR4000
WNDR3700
WNDR4000 
WNDR4300
WNDR4300-TN 
UTM50 

QNAP:
TS251
TS439 Pro
Otros dispositivos que incluyan software QTS 

TP-Link:
R600VPN
TL-WR741ND 
TL-WR841N 

Ubiquiti:
NSM2 
PBE M5

Upvel

ZTE:
ZXHN H108N