VPNFilter, el caso del malware que tiene en peligro a muchos routers en todo el mundo

Hace un par de semanas, expertos de seguridad de Cisco y Symantec detectaron una amenaza global presente en más de 50 países y que está haciéndole pascua a 500.000 routers en todo el mundo, un malware llamado VPNFilter que se ha convertido en la base de una de las mayores redes de dispositivos infectados descubiertas hasta la fecha.

Inicialmente en Cisco creían que el objetivo primario de VPNFilter era infectar los routers, switches y NAS de hogares y pequeñas oficinas para montar una enorme botnet que le permitiera lanzar ataques masivos coordinados a objetivos específicos, un malware dirigido a tu router y no a tu PC. Pero, resulta que esto no era así, y ahora creen que VPNFilter también busca atacar a los dueños de los dispositivos.

Craig Williams, uno de los líderes de Talos, la división de inteligencia de ciber-seguridad de Cisco, explica:

“Al principio, cuando vimos esto pensamos que estaba para ser usado principalmente por sus capacidades ofensivas, como en ataques de enrutamiento en Internet. Pero, parece que los atacantes han evolucionado aún más allá y ahora no solo les permite lanzar esos ataques, sino que pueden manipular todo lo que pasa por el dispositivo comprometido. Pueden modificar el balance de tu cuenta bancaria para que luzca normal mientras que al mismo tiempo están desviando dinero y potencialmente claves PGP y cosas como similares. Puedes manipular todo lo que entra y sale del dispositivo.”

VPNFilter es un módulo que efectúa ataques man-in-the-middle, es decir, puedes interceptar el tráfico que pasa a través de un dispositivo infectado para inyectar su código malicioso. Ese código puede ser creado específicamente para modificar el contenido que te entrega un sitio web cuando lo visitas de forma que ni te enteres.

Además de eso también puede robar datos sensibles e intenta bajar tu conexión HTTPS a una HTTP en texto plano.

El nuevo reporte de Talos también explica que los ataques son extremadamente específicos, que "no están buscando recolectar tanto tráfico como sea posible, sino que están tras ciertas cosas pequeñas como credenciales y contraseñas". Aún están investigando que están usando y en quien.

Aunque el FBI decomisó un servidor control y un centro de comando, la botnet permanece activa. También recomendaron a todos los usuarios de routers, switches y NAS que reiniciaran los dispositivos para mantenerse seguros. O, un reinicio de fábrica con actualización de firmware si quieres tomar todas las precauciones posibles.

Fuente: https://goo.gl/daNzqb
Fecha: 08 de junio de 2018
Resumen: Expertos detectan malware que ha infectado muchos routers a nivel mundial, malware que tiene la capacidad de manipular los datos de los usuarios y robar información sensitiva.