Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

El malware VPNFilter afecta a routers y dispositivos de almacenamiento NAS

Fecha de publicación 29/05/2018
Importancia
4 - Alta
Recursos Afectados

Routers para uso doméstico, para pequeñas y medianas empresas y dispositivos de almacenamiento NAS (Network Attached Storage). 

Descripción

Investigadores de Cisco han publicado un informe que alerta sobre un malware denominado VPNFilter que afecta a routers usados en el ámbito doméstico y en pequeñas empresas, así como a dispositivos de almacenamiento NAS. 

Las principales marcas afectadas por este malware son Linksys, MikroTik, NETGEAR, TP-Link y QNAP. Además, según los investigadores de Cisco, se indica que este malware tiene bastantes similitudes con el BlackEnergy

ACTUALIZACIÓN (07/06/2018):

Se ha ampliado la lista de dispositivos afectados: ASUS, D-LINK, HUAWEI, UBIQUITI, UPVEL y ZTE. Adicionalmente, para comprobar si tu dispositivo se encuentra en la lista, dirígete al siguiente enlace:

https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

 

Solución

La solución para eliminar parte de este malware pasa por restablecer a los valores de fábrica y reiniciar los routers. Además, se recomienda desactivar la administración remota del dispositivo (antes de conectarlo a Internet), mediante Telnet, SSH, Windbox y HTTP con acceso desde Internet (WAN).

Por último, se recomienda actualizar a las últimas versiones disponibles tanto el firmware, como el software de los dispositivos afectados. 

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter  @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.
 

Detalle

El ataque consta de tres fases: la primera en la que el malware gana persistencia en el dispositivo, es decir, aunque este sea reiniciado el malware en esta primera etapa seguirá estando presente. En las siguientes dos etapas se añaden distintas funcionalidades que mediante un reinicio del dispositivo serían eliminadas. Estas funcionalidades permitirían entre otras acciones el robo de información, ejecución remota de código o dañar el dispositivo incluso hasta el punto de hacerlo inoperativo, lo que llevaría a la imposibilidad del desarrollo de las operaciones diarias de cualquier pyme, causando un grave daño tanto a su imagen como a su reputación.

A pesar de que el reinicio de los dispositivos eliminaría las partes del malware no persistentes, es importante asegurarse de que se elimina el malware instalado en la  primera etapa, así como de que se implementan los bloqueos de red necesarios para evitar las fases que proporcionan funcionalidad al malware. 
 

Mejoramos contigo. Participa en nuestra encuesta

Etiquetas