Detectan una nueva ciber-amenaza mundial

Cisco iden­ti­fica el malware ‘VPNFilter, que afecta ya a 500.000 dis­po­si­tivos de más de 54 países

Malware, android
Malware.

Cisco ha de­tec­tado una red global de dis­po­si­tivos in­fec­tados que po­drían pro­vocar un ataque al­ta­mente des­truc­tivo a es­cala glo­bal. Durante los úl­timos me­ses, al menos 500.000 rou­ters (para pymes y con­sumo) y dis­po­si­tivos de al­ma­ce­na­miento NAS (Network Attached Storage) han sido in­fec­ta­dos, aunque po­dría haber mu­chos más.

Se trata de una de las mayores redes de dispositivos infectados descubiertas hasta la fecha por Talos, la división de inteligencia de ciber-seguridad de Cisco. La gran mayoría de equipos están conectados directamente a Internet (sin mecanismos de seguridad intermedios), y coordinados a través de una red TOR privada (red anónima de dispositivos).

El atacante podría así compartir datos entre los dispositivos y coordinar un ataque masivo utilizando los equipos como nodos. Al incluir un ‘kill switch’ (interruptor de apagado), también podría destruir los equipos dejándolos inoperativos y eliminar el acceso a Internet para cientos de miles de usuarios, además de inspeccionar el tráfico y robar datos confidenciales.

Los dispositivos infectados se encuentran en más de 54 países. Ucrania ha sufrido el mayor pico de infecciones, con un elevado incremento durante la primera quincena de mayo. El malware, denominado ‘VPNFilter’ al instalarse en dicho directorio, tiene similitudes de código con BlackEnergy, un malware que ya fue responsable de múltiples ataques a gran escala a dispositivos en Ucrania.

Protección y recomendaciones

Cisco Talos ya ha comunicado la vulnerabilidad a los fabricantes de los equipos (Linksys, MikroTik, NETGEAR, TP-Link y QNAP, por el momento) y a la Cyber Threat Alliance, además de crear y desplegar más de 100 firmas Snort para las vulnerabilidades conocidas que pueden utilizarse libremente.

Los usuarios de los dispositivos afectados -incluyendo proveedores de Internet- deberían reiniciar sus equipos en modo fábrica y actualizarlos con los últimos parches tan pronto como sea posible. Muchas organizaciones podrían tener partners o empleados que se conectan mediante los equipos infectados, pudiendo comprometer también las redes corporativas.

Los equipos de Cisco no se han visto comprometidos por esta nueva ciber-amenaza, aunque los clientes pueden utilizar Cisco Umbrella, Cloud Web Security y Web Security Appliance como primera línea de defensa (bloqueo de ataques Command and Control conocidos) y NGFW y NGIPS para bloquear las amenazas en la red.

Artículos relacionados