Background team.png

Malware de enrutador con capacidades destructivas

Aline Lefort

malware-pc-01-1 

Renovarse o morir.

A diferencia de la mayoría de otras amenazas de IoT, el malware puede sobrevivir al reinicio.

Leer también; Industría IOT

Symantec ha creado una herramienta gratuita en línea para ayudar a verificar si su enrutador se ve afectado por VPNFilt er. Prueba nuestra VPNFilter Check Tool ahora.

Este blog ha sido actualizado para incluir nueva información que fue lanzada hoy por Cisco Talos. Esto incluye una lista ampliada de dispositivos vulnerables y detalles sobre un módulo recientemente descubierto de la etapa 3 conocido como "ssler" que podría permitir a los atacantes realizar ataques de hombre en el medio (MitM) en el tráfico que pasa por enrutadores vulnerables y permitirles interceptar el tráfico web e insertar código malicioso en él. Para más detalles, ver a continuación.

Una nueva amenaza que apunta a una gama de enrutadores y dispositivos de almacenamiento conectados a la red (NAS) es capaz de eliminar los dispositivos infectados haciéndolos inutilizables. El malware, conocido como VPNFilter, es diferente a la mayoría de las otras amenazas de IoT porque es capaz de mantener una presencia persistente en un dispositivo infectado, incluso después de un reinicio. VPNFilter tiene una gama de capacidades que incluye espiar el tráfico que se enruta a través del dispositivo. Sus creadores parecen tener un interés particular en los sistemas de control industrial SCADA, creando un módulo que intercepta específicamente las comunicaciones Modbus SCADA.

Según una nueva investigación de Cisco Talos, la actividad relacionada con el malware ha aumentado en las últimas semanas y los atacantes parecen estar particularmente interesados en los objetivos en Ucrania. Si bien VPNFilter se ha extendido ampliamente, los datos de los honeypots y sensores de Symantec indican que, a diferencia de otras amenazas de IoT como Mirai, no parece estar escaneando e intentando indiscriminadamente infectar a todos los dispositivos vulnerables a nivel mundial.

P: ¿Cómo infecta VPNFilter a los dispositivos afectados?

R: La mayoría de los dispositivos identificados son conocidos por usar credenciales predeterminadas y / o tener exploits conocidos, particularmente para versiones anteriores. No hay ninguna indicación en este momento de que la explotación de las vulnerabilidades de día cero esté involucrada en la diseminación de la amenaza.

P: ¿Qué hace VPNFilter con un dispositivo infectado?

R: VPNFilter es una pieza de malware de varias etapas. La etapa 1 se instala primero y se usa para mantener una presencia persistente en el dispositivo infectado y se comunicará con un servidor de comando y control (C & C) para descargar más módulos.

La etapa 2 contiene la carga principal y es capaz de recopilar archivos, ejecutar comandos, exfiltrar datos y administrar dispositivos. También tiene una capacidad destructiva y puede "bloquear" efectivamente el dispositivo si recibe un comando de los atacantes. Lo hace sobrescribiendo una sección del firmware del dispositivo y reiniciando, dejándolo inutilizable.

Hay varios módulos conocidos de la Etapa 3, que actúan como complementos para la Etapa 2. Estos incluyen un rastreador de paquetes para espiar el tráfico que se enruta a través del dispositivo, incluido el robo de credenciales del sitio web y la supervisión de los protocolos Modbus SCADA. Otro módulo de la Etapa 3 permite que la Etapa 2 se comunique usando Tor.

Un módulo de la Etapa 3 recientemente descubierto (divulgado el 6 de junio) conocido como "ssler" es capaz de interceptar todo el tráfico que pasa por el dispositivo a través del puerto 80, lo que significa que los atacantes pueden husmear y manipular el tráfico web. los ataques del medio (MitM). Entre sus características está la capacidad de cambiar las solicitudes HTTPS a las solicitudes HTTP normales, lo que significa que los datos que se deben cifrar se envían de forma insegura. Esto se puede usar para recolectar credenciales y otra información confidencial de la red de la víctima. El descubrimiento de este módulo es significativo ya que proporciona a los atacantes un medio para moverse más allá del enrutador y llegar a la red de la víctima.

Un cuarto módulo de la Etapa 3 conocido como "dstr" (divulgado el 6 de junio) agrega un comando de cierre a cualquier módulo de la Etapa 2 que carece de esta función. Si se ejecuta, dstr eliminará todos los rastros de VPNFilter antes de bloquear el dispositivo.

P: ¿Qué debo hacer si me preocupa que mi enrutador esté infectado?

R: Se recomienda a los usuarios preocupados que utilicen la herramienta gratuita en línea de Symantec para ayudar a comprobar si su enrutador se ve afectado por VPNFilter. Esto también incluye instrucciones sobre qué hacer si el enrutador está infectado.

P: ¿Qué intentan hacer los atacantes con la capacidad destructiva de VPNFilter?

R: Esto es actualmente desconocido. Una posibilidad es usarlo con fines disruptivos, al incluir una gran cantidad de dispositivos infectados. Otra posibilidad es un uso más selectivo para encubrir la evidencia de ataques.

P: ¿Los productos de Symantec / Norton (Win / Mac / NMS) protegen contra esta amenaza?

R: Los productos de Symantec y Norton detectan la amenaza como Linux.VPNFilter.

ACTUALIZACIÓN:

Netgear está informando a los clientes que, además de aplicar las últimas actualizaciones de firmware y cambiar las contraseñas predeterminadas, los usuarios deben asegurarse de que la administración remota esté apagada en su enrutador. La administración remota está desactivada de manera predeterminada y solo se puede activar utilizando la configuración avanzada del enrutador. Para desactivarlo, deben ir a www.routerlogin.net en su navegador e iniciar sesión usando sus credenciales de administrador. A partir de ahí, deben hacer clic en "Avanzado" seguido de "Administración remota". Si está seleccionada la casilla de verificación "Activar la administración remota", desactívela y haga clic en "Aplicar" para guardar los cambios.

ACTUALIZACIÓN 24 de mayo de 2018:

El FBI ha anunciado que ha tomado medidas inmediatas para interrumpir VPNFilter, asegurando una orden judicial, autorizándola a apoderarse de un dominio que es parte de la infraestructura de C & C del malware.

Mientras tanto, Linksys aconseja a los clientes cambiar periódicamente las contraseñas de administración y garantizar que el software se actualice periódicamente. Si creen que se han infectado, se recomienda restablecer el enrutador de fábrica. Las instrucciones completas se pueden encontrar aquí.

MikroTik ha dicho que es muy seguro que cualquiera de sus dispositivos infectados por VPNFilter haya instalado el malware a través de una vulnerabilidad en el software MikroTik RouterOS, que fue parcheado por MikroTik en marzo de 2017. La actualización del software RouterOS elimina VPNFilter, cualquier otro archivo de terceros y corrige la vulnerabilidad.

ACTUALIZACIÓN 25 de mayo de 2018:

QNAP ha publicado un aviso de seguridad en VPNFilter. Contiene orientación sobre cómo usar la herramienta de eliminación de malware de la empresa para eliminar cualquier infección

 

Fuente: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware

 Conoce la importancia de la seguridad digital  

 

 Conocer más de Symantec

 

 

O haz una cotización; 

Solicitar una cotización

seguridaddigital.jpg

 

 

Más de blogs

Nuestras marcas

SAS Hybrid data center Design & Printing Mobility & Workplace Cybersecurity
HPE.jpg
autodesk
software microsoft
hp cómputo e impresión
autodesk.jpg
APC.jpg
aranda.jpg
aruba.jpg
Blancco_Logo_10-2017_FullColor_pms-02-1
incode logo-01-3
Horizontal-1
TM_logo_red_2c_1200x404-3
Explora nuestro sitio
Conócenos
  • Corporativo:
    Eugenia 1029, col. Del Valle
    CDMX 03100
  • Contáctanos
    Tel: 55 68 09 54 39 
Solución de documentación y gestión
Solución de nube especializada STRATOSPHERE
Soluciones y Servicios de TIC
Logo team blanco
Todos los derechos reservados. Copyright 2024