Al menos 500.000 dispositivos infectados por el malware VPNFilter

Investigadores de Cisco han publicado un informe que alerta sobre un nuevo malware denominado VPNFilter, cuyo principal objetivo son routers domésticos, de pequeñas empresas y dispositivos de almacenamiento NAS.
El ataque ha sido detectado en 54 países distintos siendo el más afectado Ucrania, hasta el momento se calcula que ha infectado en torno a 500.000 dispositivos.
Las principales marcas afectadas por este malware son Linksys, MikroTik, NETGEAR, TP-Link y QNAP. Además según indican los investigadores de Cisco el malware tiene bastantes similitudes con BlackEnergy.
El ataque consta de tres fases distintas: la primera cuando el malware gana persistencia en el dispositivo; las fases dos y tres añaden distintas funcionalidades que permiten entre otros, el robo de información, la ejecución de código y dañar el dispositivo llegando incluso a volverlo inoperativo.

Actualización 06-06-2018

Los investigadores de Cisco Talos han publicado una nueva actualización del malware VPNFilter en la que informan que la lista de dispositivos afectados se ha visto ampliada con respecto a los que se reportaron en una primera instancia.
En el informe también se indican nuevas funcionalidades man-in-the-middle del malware en su tercera etapa que podrían permitir a los atacantes acceder a los dispositivos de la red interna.
También han descubierto una funcionalidad del malware que le permitiría eliminarse a sí mismo del dispositivo infectado y dejar a éste inutilizado. Los investigadores además han ampliado la información sobre cómo VPNFilter analiza el tráfico Modbus.