Cuando pensamos en un virus o un malware, normalmente los principales dispositivos que suelen sufrir ataque son los ordenadores o los móviles. Sin embargo, Cisco ha descubierto un nuevo ataque llamado VPNFilter que se centra en atacar dispositivos de red, entre los que se encuentran routers y NAS.
VPNFilter: capaz de infectar routers y NAS en todo el mundo
Este ataque ha sido detectado en 54 países de todo el mundo, y de momento han descubierto que en los últimos meses ha afectado al menos a 500,000 routers y dispositivos de almacenamiento NAS, aunque afirman que la cifra podría ser mayor.
Talos, la división de ciberseguridad de Cisco, ha sido quien ha descubierto este ataque, en el que afirman que es el mayor que han visto de este estilo hasta la fecha. Lo realmente peligroso es que los dispositivos afectados se están usando como una botnet para coordinar ataques DDoS masivos. Además, los dispositivos infectados tienen un “kill switch”, que pueden dejar inoperativo el dispositivo infectado y bloquear el acceso a Internet de los usuarios conectados a él, además de poder inspeccionar el tráfico y robar el tráfico no cifrado que por ellos se pase.
En total, han detectado infecciones en routers y NAS de marcas como Linksys, MikroTik, NETGEAR, TP-Link y QNAP. Ucrania es el país que más infecciones ha sufrido, dándose el mayor número de ellas en la primera quincena de mayo. VPNFilter guarda algunas similitudes con BlackEnergy, un malware que ya afectó a miles de dispositivos en Ucrania. El directorio que crea el malware en los dispositivos infectados se llama VPNFilter, por lo que han decidido bautizar el malware como tal.
El origen de este malware es incierto, pero desde Talos afirman que hay evidencias de fuerza estatal de algún país detrás de ella. Estados Unidos ya atribuyó el ataque BlackEnergy a Rusia, por lo que en principio las similitudes de código vuelven a apuntar al país liderado por Vladimir Putin.
Ucrania cree que querían interferir con la final de la Champìons de este sábado
Entre los usos de esto nuevo ataque se cree que Rusia podría usarlo para interferir con la red de Ucrania lanzando ataques destructivos que saturen servicios en el país. En los últimos años, Rusia ha lanzado ataques contra el país buscando atacar sus redes eléctricas y fábricas. Según el investigador de Cisco llamado Craig Williams, con una red de ataque así pueden hacer lo que quieran.
El Secretario de Seguridad de Ucrania afirmó que Rusia está preparándose para lanzar un ataque a gran escala en Ucrania la noche de la final de la Champions League, que se celebra este sábado. También hablan de que podría haber coincidido con la celebración del Día de la Constitución del país, que se celebra el 28 de junio, y coincidiría con el ataque de NotPetya del año pasado.
Rusia ha negado desde siempre estar intentando atacar a países extranjeros, aunque hay evidencias que demuestran que han intentado influir en las elecciones americanas o en el referéndum de Cataluña, así como han intentado influir en la economía ucraniana. De hecho, en el malware hay módulos que buscan atacar redes industriales como las que usan las redes eléctricas.
Los fabricantes de routers ya tienen a su disposición los parches, y es cuestión de tiempo que los apliquen a los dispositivos de sus usuarios mediante actualización de firmware. Por ello, es conveniente comprobar si tenemos la última versión, y recomiendan resetearlos al estado de fábrica para borrar cualquier posible infección.