Pasos para protegerte y saber si tu router está afectado por VPNFilter

El FBI ha lanzado un comunicado en el cual aconseja a los usuarios afectados por VPNFilter reiniciar los dispositivos para frenar las actividades perjudiciales del malware. Esta muestra fue encontrada la semana pasada y afectaba a más de medio millón de usuarios de 54 países.

Actualizado a fecha 13/06/2018: añadidos nuevos modelos de routers afectados

Esta nueva amenaza no explota vulnerabilidades Zero Day sino algunas ya conocidas, además de atacar por diccionario las credenciales de los equipos.

VPNFilter y como afecta a los routers

El pasado día 23 de Mayo la firma Cisco publicó en su blog Talos el primer informe sobre VPNFilter, un nuevo malware diseñado para atacar elementos IoT (Internet of Things) como son los routers, con características muy avanzadas que le permiten recopilar datos sensibles, interferir en las comunicaciones de otros aparatos o bien destruir todo a su paso.

Nada menos que 54 países y más de 500000 usuarios afectados convierten este ciberataque en masivo, afectando en su mayoría a routers domésticos (SOHO – Small Office Home Office)

Este malware es modular y multi-nivel, lo que le permite robar credenciales de sitios web o incluso monitorizar sistemas de control industrial o SCADA.

Más detalles

Se cree que

Al atacar routers, VPNFilter emplea un ataque en dos fases.

Etapa 1 – persistencia

En la primera, donde se produce la infección del dispositivo IoT, el malware consigue persistencia aunque reiniciemos el dispositivo, algo bastante novedoso porque no es frecuente que sean capaces de hacerlo sobre este tipo de dispositivos.

La etapa 1 tiene como principal objetivo conseguir la persistencia indefinida en nuestro sistema.

Además, durante esta etapa se utilizan mecanismos para descubrir las direcciones IP de los C2 (Centros de Control) para saber con qué servidor comunicarse para recibir código. Este malware es muy robusto y aguanta muy bien los cambios sin predecir en la infraestructura remota, sin perder la conexión.

Etapa 2 – descarga de nuevo malware

En esta etapa el nuevo malware no conseguirá sobrevivir tras un reinicio, aunque posee interesantes características que podrían explotarse a modo de agente recolector de información, ejecutor de comandos remotos, reenvío de información confidencial al exterior o mera destrucción.

Post-Explotación

Tras las dos primeras etapas se han encontrado incluso módulos «stage 3» o tercera etapa, opcionales, que sirven a modo de plugins para el malware principal. Entre ellos hablamos de un packet sniffer que escucha cualquier tipo de tráfico, junto con un módulo para monitorizar protocolo Modbus en SCADA.

Responsables

No se conoce con exactitud la autoría de estos ataques, aunque parece muy probable que se trate de un grupo de blackhat asociado al gobierno de Rusia de nombre Fancy Bear, conocido también como APT28, Sofacy, X-Agent, etc.

Dispositivos afectados por VPNFilter

De entre la siguiente lista de dispositivos afectados, se marcan como nuevos los que no se informaron en el primer momento:

ASUS

• RT-AC66U (nuevo)
• RT-N10 (nuevo)
• RT-N10E (nuevo)
• RT-N10U (nuevo)
• RT-N56U (nuevo)
• RT-N66U (nuevo)

DLINK

• DES-1210-08P (nuevo)
• DIR-300 (nuevo)
• DIR-300A (nuevo)
• DSR-250N (nuevo)
• DSR-500N (nuevo)
• DSR-1000 (nuevo)
• DSR-1000N (nuevo)

HUAWEI

HG8245 (nuevo)

LINKSYS

• E1200
• E2500
• E3000 (nuevo)
• E3200 (nuevo)
• E4200 (nuevo)
• RV082 (nuevo)
• WRVS4400N

MICROTIK

• CCR1009 (nuevo)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (nuevo)
• CRS112 (nuevo)
• CRS125 (nuevo)
• RB411 (nuevo)
• RB450 (nuevo)
• RB750 (nuevo)
• RB911 (nuevo)
• RB921 (nuevo)
• RB941 (nuevo)
• RB951 (nuevo)
• RB952 (nuevo)
• RB960 (nuevo)
• RB962 (nuevo)
• RB1100 (nuevo)
• RB1200 (nuevo)
• RB2011 (nuevo)
• RB3011 (nuevo)
• RB Groove (nuevo)
• RB Omnitik (nuevo)
• STX5 (nuevo)

NETGEAR

• DG834 (nuevo)
• DGN1000 (nuevo)
• DGN2200
• DGN3500 (nuevo)
• FVS318N (nuevo)
• MBRN3000 (nuevo)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (nuevo)
• WNR4000 (nuevo)
• WNDR3700 (nuevo)
• WNDR4000 (nuevo)
• WNDR4300 (nuevo)
• WNDR4300-TN (nuevo)
• UTM50 (nuevo)

QNAP

Todos los dispositivos con sistema operativo QTS. Además, los modelos:

• TS251
• TS439 Pro

TPLINK

• R600VPN
• TL-WR741ND (nuevo)
• TL-WR841N (nuevo)

UBIQUITI

• NSM2 (nuevo)
• PBE M5 (nuevo)

ZTE

• ZXHN H108N (nuevo)

Pasos para protegerte

Reinicia tu router doméstico para quedarte tranquilo

A pesar de que el malware que aterriza durante la etapa 1 de la infección permanecerá entre reinicios, no ocurre lo mismo con el colocado en la segunda. En su momento, los expertos recomendaron reiniciar el router a los afectados potenciales (ese medio millón).

Sin embargo ahora el FBI ha publicado una nota pidiendo que todo el mundo reinicie, para evitar sustos mayores y ya que no se conocen todos los detalles sobre la amenaza.

El FBI recomienda a cualquier usuario de routers domésticos o de pequeña oficina reiniciar los dispositivos para detener temporalmente el malware y ayudar a la potencial identificación de los equipos afectados.

2. Realiza un reseteo de fábrica

Hacer un factory reset es el segundo paso que debes dar si tu modelo se encuentra en la lista anterior. De ser así, hazlo cuanto antes y no esperes a mañana.

Haciendo esto perderás todos tus datos, pero también borrarás todas las trazas del malware que hayan quedado tras el reinicio.

3. Actualiza el firmware de tu router

Si puedes, deberías hacerlo ya que esto cerrá la puerta en adelante a este ataque, suponiendo claro está que la firma en cuestión siga dando soporte al router, compruébalo.

Además, no es algo tan difícil como parece. Accede como administrador y abre la parte «Administración» o «avanzado» dependiendo del modelo. Después descarga el firmware y aplica este siguiendo los pasos.

4. Cambia la contraseña del usuario/s del router

Si la cuenta que usas en tu router -que suele tener privilegios de administrador- tiene una contraseña por defecto, no tardarán en aprovecharlo y convertir tu router en miembro de una botnet.

Aprende más – 9 pasos para proteger tu router

Yo ya he reiniciado mis routers y verificado mis equipos, te recomiendo hacer lo mismo cuanto antes porque…en fin, no cuesta nada y se lo pones un poco más difícil 😉