Cómo identificar y reparar el malware VPNFilter ahora (04.25.24)

No todos los programas maliciosos son iguales. Una prueba de esto es la existencia de malware VPNFilter , una nueva generación de malware de enrutadores que tiene propiedades destructivas. Una característica distintiva que tiene es que puede sobrevivir al reinicio, a diferencia de la mayoría de las otras amenazas de Internet de las cosas (IoT).

Deje que este artículo lo guíe a través de la identificación del malware VPNFilter y su lista de objetivos. También le enseñaremos cómo evitar que cause estragos en su sistema en primer lugar.

¿Qué es VPNFilter Malware?

Piense en VPNFilter como un malware destructivo que amenaza enrutadores, dispositivos IoT e incluso conectados a la red dispositivos de almacenamiento (NAS). Se considera una variante de malware modular sofisticada que se dirige principalmente a dispositivos de red de diferentes fabricantes.

Inicialmente, el malware se detectó en dispositivos de red Linksys, NETGEAR, MikroTik y TP-Link. También se descubrió en los dispositivos NAS de QNAP. Hasta la fecha, hay alrededor de 500,000 infecciones en 54 países, lo que demuestra su alcance y presencia masivos.

Cisco Talos, el equipo que expuso VPNFilter, proporciona una publicación de blog extensa sobre el malware y los detalles técnicos que lo rodean. Por lo que se ve, los equipos de red de ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti y ZTE tienen signos de infección.

A diferencia de la mayoría de los demás malware dirigidos a IoT, VPNFilter es difícil de eliminar ya persiste incluso después de reiniciar el sistema. Son vulnerables a sus ataques los dispositivos que utilizan sus credenciales de inicio de sesión predeterminadas o aquellos con vulnerabilidades conocidas de día cero que aún no han tenido actualizaciones de firmware.

Dispositivos que se sabe que se ven afectados por VPNFilter Malware

Se sabe que los enrutadores de empresas y pequeñas oficinas u oficinas en el hogar son un objetivo de este malware. Tome nota de las siguientes marcas y modelos de enrutadores:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Dispositivos de nivel superior: modelos desconocidos
  • Dispositivos ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Otro QNAP Dispositivos NAS que ejecutan software QTS

Un denominador común entre la mayoría de los dispositivos de destino es el uso de credenciales predeterminadas. También tienen exploits conocidos, especialmente para versiones anteriores.

¿Qué hace el malware VPNFilter con los dispositivos infectados?

VPNFilter funciona para causar daños debilitantes a los dispositivos afectados y también sirve como método de recopilación de datos. Funciona en tres etapas:

Etapa 1

Esto marca la instalación y mantiene una presencia persistente en un dispositivo de destino. El malware se pondrá en contacto con un servidor de comando y control (C & amp; C) para descargar módulos adicionales y esperar instrucciones. En esta fase, hay múltiples redundancias integradas para ubicar los C & amp; C de la Etapa 2 en caso de que ocurra un cambio de infraestructura mientras se implementa la amenaza. La etapa 1 de VPNFilter puede resistir un reinicio.

La etapa 2

Esto presenta la carga útil principal. Si bien no puede persistir durante un reinicio, tiene más capacidades. Es capaz de recopilar archivos, ejecutar comandos y realizar exfiltración de datos y administración de dispositivos. Continuando con sus efectos destructivos, el malware puede "bloquear" el dispositivo una vez que recibe un comando de los atacantes. Esto se ejecuta sobrescribiendo una parte del firmware del dispositivo y reiniciando posteriormente. Los actos delictivos inutilizan el dispositivo.

Etapa 3

Existen varios módulos conocidos de este que actúan como complementos para la Etapa 2. Estos comprenden un rastreador de paquetes para espiar el tráfico enrutado a través del dispositivo, lo que permite el robo de credenciales de sitios web y seguimiento de protocolos Modbus SCADA. Otro módulo permite que Stage 2 se comunique de forma segura a través de Tor. Según la investigación de Cisco Talos, un módulo proporciona contenido malicioso al tráfico que pasa a través del dispositivo. De esta forma, los atacantes pueden afectar aún más a los dispositivos conectados.

El 6 de junio, se expusieron dos módulos más de la Etapa 3. El primero se llama "ssler" y puede interceptar todo el tráfico que pasa a través del dispositivo utilizando el puerto 80. Permite a los atacantes ver el tráfico web e interceptarlo para ejecutar ataques man in the middle. Puede, por ejemplo, cambiar las solicitudes HTTPS a HTTP, enviando datos supuestamente cifrados de forma insegura. El segundo se denomina "dstr", que incorpora un comando de interrupción para cualquier módulo de la etapa 2 que carece de esta función. Una vez ejecutado, eliminará todos los rastros del malware antes de que bloquee el dispositivo.

Aquí hay siete módulos más de la etapa 3 revelados el 26 de septiembre:
  • htpx - Funciona al igual que ssler, redirigir e inspeccionar todo el tráfico HTTP que pasa por el dispositivo infectado para identificar y registrar cualquier ejecutable de Windows. Puede troyar ejecutables mientras pasa por enrutadores infectados, lo que permite a los atacantes instalar malware en varias máquinas conectadas a la misma red.
  • ndbr : se considera una herramienta SSH multifunción.
  • nm : este módulo es un arma de mapeo de red para escanear la subred local. .
  • netfilter : esta utilidad de denegación de servicio puede bloquear el acceso a algunas aplicaciones cifradas.
  • reenvío de puertos : reenvía el tráfico de red a la infraestructura determinada por los atacantes.
  • socks5proxy : permite establecer un proxy SOCKS5 en dispositivos vulnerables.
Se revela el origen de VPNFilter

Este Es probable que el malware sea el trabajo de una entidad de piratería patrocinada por el estado. Las infecciones iniciales se sintieron principalmente en Ucrania, atribuyendo fácilmente el acto al grupo de piratería Fancy Bear y a grupos respaldados por Rusia.

Esto, sin embargo, ilustra la naturaleza sofisticada de VPNFilter. No se puede asociar con un origen claro y un grupo de piratería específico, y alguien aún debe dar un paso adelante para reclamar la responsabilidad por él. Se está especulando con un patrocinador de estado-nación, ya que SCADA, junto con otros protocolos de sistemas industriales, tiene reglas y objetivos de malware completos.

Sin embargo, si le preguntara al FBI, VPNFilter es una creación de Fancy Bear. En mayo de 2018, la agencia confiscó el dominio ToKnowAll.com, que se cree que es fundamental para instalar y controlar Stage 2 y 3 VPNFilter. La incautación ayudó a detener la propagación del malware, pero no logró abordar la imagen principal.

En su anuncio del 25 de mayo, el FBI emite una solicitud urgente para que los usuarios reinicien sus enrutadores Wi-Fi en casa para detener un gran ataque de malware en el extranjero. En ese momento, la agencia identificó a los ciberdelincuentes extranjeros por comprometer enrutadores Wi-Fi domésticos y de oficinas pequeñas, junto con otros dispositivos de red, por cientos de miles.

Soy solo un usuario común: ¿qué significa el ataque VPNFilter ¿Yo?

La buena noticia es que es poco probable que su enrutador albergue el molesto malware si revisó la lista de enrutadores VPNFilter que proporcionamos anteriormente. Pero siempre es mejor pecar de cauteloso. Symantec, por ejemplo, ejecuta VPNFilter Check para que pueda probar si está afectado o no. Solo toma unos segundos ejecutar la verificación.

Ahora, aquí está la cosa. ¿Qué pasa si estás realmente infectado? Explore estos pasos:
  • Reinicie su enrutador. Luego, ejecute VPNFilter Check una vez más.
  • Restablezca su enrutador a su configuración de fábrica.
  • Considere deshabilitar cualquier configuración de administración remota en su dispositivo.
  • Descargue el firmware más actualizado para su enrutador. Complete una instalación limpia del firmware, idealmente sin que el enrutador establezca una conexión en línea mientras el proceso está en marcha.
  • Complete un análisis completo del sistema en su computadora o dispositivo que se ha conectado al enrutador infectado. No olvide utilizar una herramienta de optimización de PC confiable para trabajar junto con su escáner de malware confiable.
  • Proteja sus conexiones. Protéjase con una VPN paga de alta calidad con un historial de privacidad y seguridad en línea de primer nivel.
  • Adquiera el hábito de cambiar las credenciales de inicio de sesión predeterminadas de su enrutador, así como de otros dispositivos IoT o NAS .
  • Tenga un firewall instalado y configurado correctamente para mantener las cosas malas fuera de su red.
  • Proteja sus dispositivos con contraseñas sólidas y únicas.
  • Habilite el cifrado .

Si su enrutador se ve potencialmente afectado, puede ser una buena idea consultar con el sitio web del fabricante para obtener información nueva y pasos a seguir para proteger sus dispositivos. Este es un paso inmediato a tomar, ya que toda su información pasa por su enrutador. Cuando un enrutador se ve comprometido, la privacidad y la seguridad de sus dispositivos están en juego.

Resumen

El malware VPNFilter también podría ser una de las amenazas más fuertes e indestructibles para los enrutadores de empresas y pequeñas oficinas o hogares en los últimos tiempos. historia. Inicialmente se detectó en dispositivos de red Linksys, NETGEAR, MikroTik y TP-Link y en dispositivos NAS de QNAP. Puede encontrar la lista de enrutadores afectados arriba.

VPNFilter no se puede ignorar después de iniciar unas 500.000 infecciones en 54 países. Funciona en tres etapas y hace que los enrutadores no funcionen, recopila información que pasa a través de los enrutadores e incluso bloquea el tráfico de la red. Detectar y analizar la actividad de su red sigue siendo una tarea difícil.

En este artículo, describimos formas de ayudarlo a defenderse del malware y los pasos que puede seguir si su enrutador se ha visto comprometido. Las consecuencias son nefastas, por lo que nunca debe sentarse en la importante tarea de revisar sus dispositivos.

Video de Youtube: Cómo identificar y reparar el malware VPNFilter ahora

04, 2024