VPNFilter : Nuevas noticias sobre el malware que tiene como objetivo a las pequeñas y medianas empresas
4 min read
Nueva información sobre VPNFilter:
- La lista de dispositivos infectados se incrementa con SUS, D-Link, Huawei, Ubiquiti, UPVEL, e ZTE.
- Cisco no se encuentra en la lista de routers infectados
- VPNFilter es más peligroso que lo que se pensó en un principio ya que tiene capacidades adicionales. VPNFilter tiene 2 móduloss principales que actuan en dos fases del ataque:
- El primer módulo llamado “ssler“, inyecta contenido el malicioso en el tráfico web a medida que pasa a través del dispositivo infectado.
- El segundo módulo llamado “dstr“, aporta al malware la capacidad de ocultar su ataque. En caso de que el malware no pueda desactivar el dispositivo infectado, en una segunda fase del ataque este módulo elimina los rastros del malware del dispositivo.
Cisco Talos, el centro de investigación de ciberseguridad de Cisco, ha publicado el análisis de un malware sofisticado y complejo, que ha sido probablemente promovido por uno o varios países y que se denomina VPNFilter.
Esta investigación es fruto de meses de trabajo y colaboración de Talos con socios que se ocupan de inteligencia de amenazas tanto en el sector público como privado.
El análisis todavía no se ha finalizado, pero el alcance de dicha amenaza es tal que Talos decidió hacerlo público el 23 de mayo con la publicación de todos los detalles descubiertos.
La protección de la confianza que los clientes y socios depositan en Cisco nos guía a la hora de realizar y comunicar nuestras investigaciones. Por ello, Talos decidió el 23 de mayo compartir todos los detalles de este descubrimiento con todos los demás proveedores de ciberseguridad miembros de la Cyber Threat Alliance, para que todos puedan compartir y trabajar en esta amenaza.
¿Qué es VPNFilter?
El malware ha sido denominado “VPNFilter” porque se autoinstala en un directorio llamado /vpnfilter/.
Su capacidad de destrucción es importante, ya que si se activa puede dañar o destruir los dispositivos afectados. Además, permite inspeccionar el tráfico, robar los archivos y entrar potencialmente en la red a la que están conectados estos dispositivos.
¿A quién ataca a VPNFilter?
Cisco Talos, que está trabajando junto con socios que participan en este análisis, estima que:
- El número de los dispositivos afectados es de 500.000 al menos en 54 países. Los dispositivos en cuestión son equipos de conexión a redes de las marcas Linksys, MikroTik, NETGEAR y TP-Link.
- Los objetivos de este malware son al parecer:
- Las pequeñas y medianas empresas, ya que estos dispositivos están presentes principalmente en el segmento de pequeñas oficinas y oficinas domésticas (SOHO)
- Las empresas con empleados o socios que usan estos dispositivos para conectarse a su red
- Las empresas con un almacenamiento conectado a la red (NAS), es decir, un dispositivo conectado a la red cuya función sea la de permitir a los usuarios acceder y compartir una memoria constituida por uno o más discos duros dentro de la propia red o fuera
Sugerencias
Recomendamos a todas las empresas que usen los dispositivos presentes en la lista de routers mencionados y que puedan haberse visto afectadas, sigan las sugerencias que se indican en la publicación de Cisco Talos.
¿Cómo puede ayudar Cisco?
Las soluciones de Cisco que ayudan a defenderse de este malware, así como de otros malware, son:
- Las soluciones de primera línea defensa como Umbrella, y Web Security Appliance, ya que bloquean los dominios de tipo comando y control (C2) call back conocidos
- Las soluciones Firewall de última generación e IPS de última generación para bloquear el malware protegiendo la red
- Stealthwatch Enterprise y Stealthwatch Cloud pueden identificar los dispositivos que se están comunicando con C2 conocidos. Los detalles de la cobertura específica para este malware se encuentran en el Blog de Talos
- En caso de que se sospeche haber sido afectado y querer responder ahora para reparar inmediatamente un posible daño, nuestro servicio de respuesta a incidentes de Cisco está a vuestra disposición en el número 1-844-831-7715
Por qué necesita la PYME tomarse en serio este malware
VPNFilter es la primera amenaza avanzada masiva dirigida a la PYME que Cisco Talos ha detectado.
No es la primera vez que las PYME son blanco de un malware, pero es la primera vez que el malware es tan masivo, avanzado y peligroso. Cisco Talos ha decidido publicar esta investigación a pesar de que aún no se ha completado ya que el alcance de este malware aún no se ha descubierto en su totalidad.
Esta es una señal clara de un cambio en el comportamiento de las amenazas y nos encontramos con un nuevo tipo de malware que es muy peligroso para las pequeñas empresas.
La PYME no puede subestimar esta situación: la principal diferencia entre VPNFilter y Wannacry es que el objetivo final de VPNFilter es deshabilitar totalmente el dispositivo, no secuestrarlo en espera de un pago para rehabilitarlo.
Esta nueva situación además está ocurriendo en un momento en que cambia la normativa sobre la privacidad de los datos. Con el nuevo Reglamento General Europeo de Protección de Datos, o GDPR ahora las empresas, cualquiera que sea su dimensión, tienen 72 horas para informar sobre una violación de datos, hacer un informe detallado sobre lo sucedido y presentar un plan de recuperación para salvar la privacidad de los datos vulnerados. Todas las PYME deben preguntarse si están preparadas para responder así. (Cómo se preparó Cisco para GDPR).
Este ataque de malware demuestra una vez más que, aunque no se pueda eliminar completamente el riesgo de un ataque, una tecnología integrada de ciberseguridad permite prevenirlo, y un plan eficaz de respuesta a incidentes, resolverlo.
——————————————
Si has leído esta publicación también podría interesarte:
- Cómo optimizar su inversión en ciberseguridad
- El camino de la Pyme a la transformación digital
- Brechas de seguridad: anticiparlas y remediarlas en tiempo real