Más de 500.000 routers y dispositivos NAS afectados por VPNFilter

Los ataques están dirigidos en su mayoría a hosts de Ucrania. Disponiendo de una infraestructura de C&C específica para este país. Aunque otros 54 países se han visto afectados.

Hasta la fecha se sabe que el malware afecta a dispositivos de distinta categoría, tanto de uso doméstico como empresarial:

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS para Routers Cloud Core: Versiones 1016, 1036, y 1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Otros dispositivos QNAP NAS que funcionen con software QTS
• TP-Link R600VPN

Estos dispositivos utilizan credenciales por defecto o están afectados por alguna vulnerabilidad ya conocida. De este modo el malware es capaz de infectar y propagarse a otros dispositivos.

La infección ocurre en tres etapas:

En primer lugar el malware se instala en el dispositivo de forma persistente, a diferencia de otros virus para dispositivos IoT que suelen borrarse al reiniciar el aparato. En esta primera etapa también se establece contacto con alguno de los servidores de C2 para pasar a la segunda etapa de despliegue.

En la segunda etapa se descarga el payload que permitirá al troyano ejecutar comandos, exfiltrar información y ficheros o incluso destruir el dispositivo sobreescribiendo su firmware.

La tercera etapa extiende las funcionalidades que se consiguen en la segunda, permitiendo esnifar paquetes, el robo de credenciales o monitorizar el protocolo de Modbus SCADA.

Fuente: Cisco Talos talosintelligence.com

Como contramedida podemos reiniciar el router o NAS para devolver al dispositivo al estado de la etapa 1 o resetear el aparato a los ajustes de fábrica para eliminarlo por completo. Se recomienda también instalar los parches que cada fabricante ha publicado.