El Buró Federal de Investigaciones (FBI) informó sobre la necesidad de reiniciar los ruteadores (equipos que permiten la conexión a internet), ya que un ataque cibernético procedente de Rusia, conocido como VPNFilter, infectó a más de 500 mil equipos en al menos 54 países.
De acuerdo con información de Cisco, tanto la escala como la capacidad de la operación rusa son preocupantes, pues los componentes del malware permiten el robo de credenciales el sitio web y la supervisión de protocolos Modbus SCADA, además tiene una capacidad destructiva que puede activarse en máquinas de víctimas individuales o en masa.
“El malware VPNFilter es una plataforma modular de etapas múltiples con capacidades versátiles para admitir operaciones de recopilación de inteligencia y ataques cibernéticos destructivos… pero el que llegue a la etapa dos es lo que más preocupa”, indicó Cisco.
En dicha etapa se pueden activar dos comandos (Kill y Excet) que dejan inutilizables algunos o todos los dispositivos físicos, y esta acción es irrecuperable para la mayoría de las víctimas, pues se necesitan conocimientos técnicos muy avanzados para lidiar con ellos.
“Estamos profundamente preocupados por esta capacidad, y es uno de los motivos por los que hemos estado investigando de forma discreta en los últimos meses, pues además se observa que se trata de una amenaza global ampliamente desplegada y que busca aumentar su huella”.
Ucrania es al momento la nación más afectada y donde se detectó la propagación de forma rápida, y en la que los dispositivos, en su mayoría, no cuentan con los parches necesarios ni capacidades anti-malware, lo que hace que la amenaza sea muy difícil de contrarrestar .
Tanto el FBI como Cisco lanzaron una serie de recomendaciones con la finalidad de protegerse ante la amenaza, aunque advirtieron que pudiera no ser definitiva.
Recomendaciones:
Que los usuarios de los ruteadores SOHO y/o dispositivos NAS, los restablezcan a los valores predeterminados de fábrica y los reinicien para eliminar el malware potencialmente destructivo y no persistente.Que los proveedores de servicios de internet que proporcionan ruteadores SOHO a sus usuarios los reinicien, además si se tienen sospechas de haber sido infectados comunicarse con el fabricante para verificar que el dispositivo este actualizado.
Cisco aseguró además que los operadores de servicios de telecomunicaciones ya trabajan agresivamente con sus clientes para garantizar que sus dispositivos estén actualizados con las versiones de software más recientes.
Algunas de las marcas de ruteadores que han sido afectados son Linksys, MikroTik, Netgear y TP-Link, aunque se aclaró que esto no deja fuera de peligro a ninguna otra marca, pues las investigaciones aun continúan.
CPR