VPNFilter, el caso del malware que tiene en peligro a más de 500 mil routers
Hace apenas dos semanas platicamos sobre la amenaza que suponía VPN Filter, el malware que ataca a los dispositivos para convertirlos en bots y así controlar de forma remota para lanzar ataques masivos coordinados. En ese momento eran 14 los modelos de router afectados.
Inicialmente en Cisco creían que el objetivo primario de VPNFilter era infectar los routers, switches y NAS de hogares y pequeñas oficinas para montar una enorme botnet que le permitiera lanzar ataques masivos coordinados a objetivos específicos, un malware dirigido a tu router y no a tu PC. Pero, resulta que esto no era así, y ahora creen que VPNFilter también busca atacar a los dueños de los dispositivos.
Craig Williams, uno de los líderes de Talos, la división de inteligencia de ciberseguridad de Cisco, explica:
«Al principio, cuando vimos esto pensamos que estaba para ser usado principalmente por sus capacidades ofensivas, como en ataques de enrutamiento en Internet. Pero, parece que los atacantes han evolucionado aún más allá y ahora no solo les permite lanzar esos ataques, sino que pueden manipular todo lo que pasa por el dispositivo comprometido. Pueden modificar el balance de tu cuenta bancaria para que luzca normal mientras que al mismo tiempo están desviando dinero y potencialmente claves PGP y cosas como similares. Puedes manipular todo lo que entra y sale del dispositivo.»
No se libran ni las conexiones seguras
VPNFilter es un modulo que efectúa ataques man-in-the-middle, es decir, puede interceptar el tráfico que pasa a través de un dispositivo infectado para inyectar su código malicioso. Ese código puede ser creado específicamente para modificar el contenido que te entrega un sitio web cuando lo visitas de forma que ni te enteres.
Además de eso también puede robar datos sensibles e intenta bajar tu conexión HTTPS a una HTTP en texto plano. Se piensa que los hackers rusos podrían haber llegado a infectar hasta 500 mil routers antes que el FBI tomara medidas.
El problema se agrava porque el malware sería capaz de vulnerar las conexiones que consideramos seguras, esto es, las HTTPS. En este sentido no se librarían ni siquiera comunicaciones que se envían a sitios cómo Google, Facebook, Twitter o YouTube, los cuales hacen uso de funcionalidades de seguridad extra.
Todos los datos que por lo tanto, circulan cuando visitamos una web supuestamente segura, pueden estar al descubierto. Pensemos en páginas web de entidades bancarias, médicas… un abanico enorme y con muchos puntos débiles que pueden ser atacados.
Y si esto no es suficiente, además se ha descubierto que el número de modelos afectados por el malware es mayor del que se tenía pensado en un principio. Por marcas, el listado completo de los routers amenazados a estas alturas es este:
→Modelos afectados de ASUS: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
→Modelos afectados de D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
→Modelos afectados de Huawei: HG8245
→Modelos afectados de Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
→Modelos afectados de Mikrotik: CCR1009, CCR1016,CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5,
→Modelos afectados de Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
→Modelos afectados de QNAP: TS251, TS439 Pro, otros NAS de QNaP que usen software QTS
→Modelos afectados de TP-Link: R600VPN, TL-WR741ND, TL-WR841N
→Modelos afectados de Ubiquiti: NSM2, PBE M5
→Modelos afectados de Upvel: modelos desconocidos
→Modelos afectados de ZTE: ZXHN H108N
En Alternativas en Computación le ayudaremos a tomar conciencia de su nivel de seguridad y conocer qué problemas de seguridad son más importantes para su organización. Contamos con un servicio de administración de seguridad y monitoreo que le permitirá poner en marcha su estrategia en breve y orientar sus recursos en labores operativas propias del negocio.
¡Si desea agendar una cita, por favor déjenos sus datos!
Fuente: Genbeta
