El equipo de
investigadores de Cisco Talos se hacen eco de una nueva familia de malware muy
destructiva: VPNFilter. Capaz de robar credenciales, exfiltrar información e
incluso destruir el dispositivo afectado.
Los ataques están
dirigidos en su mayoría a hosts de Ucrania. Disponiendo de una infraestructura
de C&C específica para este país. Aunque otros 54 países se han visto
afectados.
Hasta la fecha se
sabe que el malware afecta a dispositivos de distinta categoría, tanto de uso
doméstico como empresarial:
·
Linksys
E1200
·
Linksys
E2500
·
Linksys
WRVS4400N
·
Mikrotik
RouterOS para Routers Cloud Core: Versiones 1016, 1036, y 1072
·
Netgear
DGN2200
·
Netgear
R6400
·
Netgear
R7000
·
Netgear
R8000
·
Netgear
WNR1000
·
Netgear
WNR2000
·
QNAP
TS251
·
QNAP
TS439 Pro
·
Otros
dispositivos QNAP NAS que funcionen con software QTS
·
TP-Link
R600VPN
Estos dispositivos
utilizan credenciales por defecto o están afectados por alguna vulnerabilidad
ya conocida. De este modo el malware es capaz de infectar y propagarse a otros
dispositivos.
La infección ocurre en tres etapas:
En primer lugar el
malware se instala en el dispositivo de forma persistente, a diferencia de
otros virus para dispositivos IoT que suelen borrarse al reiniciar el aparato.
En esta primera etapa también se establece contacto con alguno de los
servidores de C2 para pasar a la segunda etapa de despliegue.
En la segunda etapa
se descarga el payload que permitirá al troyano ejecutar comandos, exfiltrar
información y ficheros o incluso destruir el dispositivo sobreescribiendo su
firmware.
La tercera etapa
extiende las funcionalidades que se consiguen en la segunda, permitiendo
esnifar paquetes, el robo de credenciales o monitorizar el protocolo de Modbus
SCADA.
Recomendación
Como contramedida
podemos reiniciar el router o NAS para devolver al dispositivo al estado de la
etapa 1 o resetear el aparato a los ajustes de fábrica para eliminarlo por
completo. Se recomienda también instalar los parches que cada fabricante ha
publicado.
Más información:
·
New
VPNFilter malware targets at least 500K networking devices worldwide https://blog.talosintelligence.com/2018/05/VPNFilter.html
Fuente: Hispasec