VPNFilter: Botnet que ha infectado más de medio millón de routers.

La seguridad vuelve a ser noticia y está vez también es critica. Mas de medio millón de dispositivos routers y sistemas de almacenamientos (NAS) han sido infectado por un malware, que ha sido apodado como VPNFilter.

Según un informe del Departamento de Seguridad de los Estados Unidos que ha estado investigando el malware, indica que las marcas que han sido afectadas son Linksys, MikroTik, Netgear, TP-Link y QNAP entre las mencionadas.

Otro informe de Cisco que ha estado trabajando en conjunto con otras empresas de la industria, indica que el alcance de la expansión del malware es mundial (54 países reportados) y que la mayor cantidad de dispositivos afectados se encuentran en Ucrania,

Por su parte, la agencia de seguridad de Ucrania ha indicado que tiene evidencias que se está forjando un ciber ataque durante la final de futbol de la UEFA Champions League que se celebrará el sábado en Kiev.

El estudio del malware indica que una vez que toma el control del dispositivo, envía una serie de comandos al botnet a través de metadatas ocultos en una imagen en Photobucket.com. Cómo éste sitio de alojamiento ha eliminado las imágenes que se guardaban en sus servidores, es que el malware ha optado por un servidor de backup alojado en el dominio toknowall.com.

Dicho dominio el día de ayer (23/05/18) , fue secuestrado por el FBI y ha redirigido el tráfico del mismo hacia sus servidores para controlar el posible ataque futuro.

En el día de hoy, MikroTik ha brindado un comunicado oficial, en donde informa que el día 22 de Mayo se contactaron con ellos la gente de Cisco, indicando que un malware había sido encontrado en varios dispositivos de diferentes marcas y entre ellos 3 fueron routers con RouterOS.

Según MikroTik, creen que dicho malware es instalado en los dispositivos que son vulnerable (noticia de la que ya hemos comentado) y que no actualizaron su sistema operativo. Dicha vulnerabilidad fue solucionada en Marzo del 2017.

Lo que se debe realizar es simplemente actualizar la versión del RouterOS y al hacerlo se eliminarán tanto el malware como cualquier archivo de terceros, cerrando la vulnerabilidad.

Hay que tener en cuenta que el nombre VPNFilter es el que se le ha asignado como “code name” y no tiene nada que ver con los túneles VPN.