Recientemente ha habido un anuncio de servicio público algo preocupante del FBI que todos deberían reiniciar sus enrutadores. Aconsejan hacer esto para evitar que una pieza desagradable de malware de enrutador se apodere de su hardware. Dado que esto es lo suficientemente grande como para que el FBI dé un anuncio de servicio público, puede ser inquietante pensar en lo que podría estar al acecho dentro de su enrutador. Entonces, ¿qué es y qué puedes hacer? Analicemos esta nueva amenaza para ver qué es, cómo funciona y qué puede hacer para protegerse de ella.
¿Qué es?
El malware en cuestión se llama «VPNFilter». A pesar de su nombre que suena inocente, ¡es todo lo contrario! Su principal vector de ataque implica excavar en los enrutadores de hogares y pequeñas empresas. También está diseñado para permanecer dentro del enrutador después de que se haya reiniciado, lo que lo convierte en un ejemplo particularmente obstinado de malware.
VPNFilter se propaga apuntando a enrutadores con fallas y debilidades conocidas, y los dispositivos basados en Ucrania son los más atacados de todos los países. Todos los orígenes de VPNFilter apuntan a una grupo llamado “Sofacy” que desarrolló el código y lo difundió en todo el mundo.
¿Qué hace?
Entonces, una vez que este nuevo malware ingresa a un enrutador, ¿qué hace? VPNFilter es bastante avanzado y despliega su carga útil en tres etapas:
- La primera etapa es donde el malware se instala en un enrutador vulnerable y se configura para persistir incluso después de que el enrutador se haya apagado.
- Una vez que la primera etapa se instala correctamente, comienza la segunda etapa. Esto implica instalar la capacidad de VPNFilter para ejecutar comandos, recopilar archivos y administrar el enrutador. Tiene suficiente control sobre el enrutador que puede dañar permanentemente los archivos del sistema del enrutador (lo que se conoce como «bloqueo») cuando se lo ordenan, si es necesario.
- Una vez que la etapa 2 se ha implementado correctamente, la etapa 3 actúa como una instalación de complemento encima de la etapa 2. La etapa 3 permite a los piratas informáticos mirar dentro de los paquetes que pasan a través del enrutador, donde se transfieren los datos. También otorga a la etapa 2 la capacidad de comunicarse a través de Tor.
Cuando el enrutador se enciende y apaga, las etapas 2 y 3 se borran, pero la «semilla» que se configuró durante la etapa 1 persiste. De todos modos, la parte más dañina del malware VPNFilter se reinicia, razón por la cual se les ha dicho a las personas que reinicien sus enrutadores.
¿Afecta a todos los enrutadores?
No todos los enrutadores pueden ser afectados por VPNFilter. Symantec entra en detalles sobre qué enrutadores son vulnerables.
Hasta la fecha, se sabe que VPNFilter es capaz de infectar enrutadores de empresas y pequeñas oficinas/oficinas domésticas de Linksys, MikroTik, Netgear y TP-Link, así como dispositivos de almacenamiento conectado a la red (NAS) de QNAP. Éstos incluyen:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik RouterOS para Cloud Core Routers: Versiones 1016, 1036 y 1072
- Netgear DGN2200
- netgear r6400
- netgear r7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- Otros dispositivos NAS de QNAP que ejecutan el software QTS
- TP-Link R600VPN”
Si posee alguno de los dispositivos anteriores, consulte la página de soporte del fabricante para obtener actualizaciones y consejos sobre cómo derrotar a VPNFilter. La mayoría debería tener una actualización de firmware que debería protegerlo por completo de los vectores de ataque de VPNFilter.
¿Es irreparable?
Afortunadamente, a pesar de que parece que VPNFilter estará en los enrutadores para siempre, hay formas de deshacerse de él. Si bien VPNFilter se asegura de que persista aunque se apague el enrutador, no puede sobrevivir a un restablecimiento de fábrica. Si coloca su enrutador a través de uno de esos, el malware quedará atrapado en el borrado y se eliminará efectivamente de su enrutador.
Una vez hecho esto, asegúrese de cambiar sus credenciales de red y deshabilitar también la configuración de administración remota. Es posible que sus datos se hayan filtrado en el ataque, y evitar el acceso remoto puede evitar que un ataque futuro llegue a las PC y dispositivos de su hogar.
Vaporizar VPNFilter
Si bien VPNFilter es un equipo desagradable que se ha elevado al interés del FBI, ¡no es imbatible! Al hacer un restablecimiento de fábrica, puede limpiar su enrutador de cualquier malware. Además, si su fabricante ha lanzado una actualización, puede evitar volver a infectarse más adelante.
¿VPNFilter te afecta de alguna manera? Háganos saber a continuación.
Credito de imagen: enrutador, primer plano de un enrutador inalámbrico y un hombre que usa un teléfono inteligente en la sala de estar en la oficina de casa por idea de Casezy/Shutterstock