Cisco señala que el programa malicioso VPNFilter posee funciones adicionales que lo vuelven más peligroso. Además, estima que la cifra de equipos infectados puede ascender hasta los 700 mil.
07/06/18 | Por Noticias TNE
Justo el día en que se disputaba la final de la Champions League entre el Real Madrid y Liverpool, los focos de alerta se habían encendido por la presencia del malware VPNFilter, el cual fue encontrado en al menos 54 países, pero con un mayor índice de actividad en Ucrania, por lo que se llegó a considera que fue diseñado por la inteligencia rusa para causar estragos durante el partido antes mencionado o en las festividades de dicho país a finales de junio.
De acuerdo a la firma de ciberseguridad Talos, que pertenece a Cisco, el riesgo de VPNFilter es mayor de lo que en un principio consideró el FBI. Resulta que el programa malicioso es capaz de atacar a seis nuevas marcas de computadoras; entre estas se encuentran ASUS, D-Link, ZTE y Huawei.
Cuando se dio a conocer por primera vez, el virus operaba en tres etapas. En la primera, se instalaba en el dispositivo sin posibilidades de eliminarlo. Luego había dos fases avanzadas donde crecía y se propagaba hasta tomar el control del aparato. Sin embargo, los nuevos hallazgos de Talos apuntan a nuevas capacidades que lo vuelven más peligroso.
“Inicialmente, cuando vimos esto pensamos que primeramente estaba hecho para realizar ofensivas como ataques de enrutamiento a través de Internet”, comentó Craig Williams, líder senior de tecnología y gerente de alcance global de Talos, al sitio Ars Technica. “Pero parece que (los atacantes) han evolucionado y ya no sólo pueden hacer eso, sino que pueden manipular todo lo que ocurre en el dispositivo afectado”.
Las capacidades de VPNFilter van más allá en su tercera etapa debido a que cuenta con funciones de mayor impacto. A través de una acción llamada man-in-the-middle, lo que podría traducirse como un ataque intermediario, el malware puede sustraer información de todos los dispositivos que comparten la red con el equipo infectado. Esto le permite interceptar el tráfico de red, robar passwords que se ingresen en diferentes páginas web o implantar código malicioso mientras pasa por el router sin que el usuario se percate de ello.
Por si lo anterior fuera poco, el programa cuenta con una modalidad de autodestrucción, facilitándole al ciberdelincuente borrar cualquier evidencia de su existencia.
Deshacerse de VPNFilter no es sencillo porque está diseñado de tal manera que cuando ocurre un ataque de fase 1, este actúa como backdoor o puerta trasera, en los dispositivos que pueden ser infectados, que luego es usada para descargar contenidos adicionales con el objetivo de expandir sus funciones para así continuar con las fases 2 y 3.
Quienes sean dueños de routers deben asumir que sus equipos están infectados y deben restaurarlos a sus condiciones de fábrica. Posteriormente deben actualizar el software para quitar las vulnerabilidades. También se recomienda resetear las contraseñas y desactivar la gestión remota del equipo. Sin embargo, estas medidas pueden no ser suficientes para resolver el problema.
Te puede interesar también:
“Zoopark, el malware que espía tu teléfono”
“Codifican malware dentro de ADN para infectar computadoras”
