Inicio / Alerta Temprana / Bitácora Ciberseguridad / Al menos 500.000 dispositivos infectados por el malware VPNFilter

Al menos 500.000 dispositivos infectados por el malware VPNFilter

23/05/2018

Investigadores de Cisco han publicado un informe que alerta sobre un nuevo malware denominado VPNFilter, cuyo principal objetivo son routers domésticos, de pequeñas empresas y dispositivos de almacenamiento NAS.
El ataque ha sido detectado en 54 países distintos siendo el más afectado Ucrania, hasta el momento se calcula que ha infectado en torno a 500.000 dispositivos.
Las principales marcas afectadas por este malware son Linksys, MikroTik, NETGEAR, TP-Link y QNAP. Además según indican los investigadores de Cisco el malware tiene bastantes similitudes con BlackEnergy.
El ataque consta de tres fases distintas: la primera cuando el malware gana persistencia en el dispositivo; las fases dos y tres añaden distintas funcionalidades que permiten entre otros, el robo de información, la ejecución de código y dañar el dispositivo llegando incluso a volverlo inoperativo.

Actualización 06-06-2018

Los investigadores de Cisco Talos han publicado una nueva actualización del malware VPNFilter en la que informan que la lista de dispositivos afectados se ha visto ampliada con respecto a los que se reportaron en una primera instancia.
En el informe también se indican nuevas funcionalidades man-in-the-middle del malware en su tercera etapa que podrían permitir a los atacantes acceder a los dispositivos de la red interna.
También han descubierto una funcionalidad del malware que le permitiría eliminarse a sí mismo del dispositivo infectado y dejar a éste inutilizado. Los investigadores además han ampliado la información sobre cómo VPNFilter analiza el tráfico Modbus.