La división de inteligencia de ciberseguridad de Cisco, Talos, ha detectado de una nueva red global de dispositivos infectados que podría generar un ataque masivo. En los últimos meses al menos 500.000 routers para pymes y el ámbito doméstico y dispositivos de almacenamiento NAS han sido infectados.
Estos equipos están conectados directamente a Internet (sin mecanismos de seguridad intermedios) y coordinados a través de una red TOR privada (red anónima de dispositivos). De esta manera, el atacante podría compartir datos entre los dispositivos y coordinar un ataque masivo utilizando los equipos como nodos. Al incluir un “kill switch” o un interruptor de apagado también podría destruir los equipos dejándolos inoperativos y eliminar el acceso a Internet para cientos de miles de usuarios, además de robar datos confidenciales.
Estos dispositivos se encuentran en más de 54 países. Y Ucrania ha sido el que ha sufrido el mayor pico de infecciones con un elevado incremento durante la primera quincena de mayo.
Este malware que se denomina “VPNFilter” al instalarse en dicho directorio, tiene similitudes de código con BlackEnergy, un malware que ya fue responsable de múltiples ataques a gran escala a dispositivos en Ucrania.
Cisco Talos ya ha comunicado la vulnerabilidad a los fabricantes de los equipos — Linksys, MikroTik, Netgear, TP-Link y Qnap, por el momento—y a la Cyber Theat Alliance. Ha creado también más de 100 firmas Snort para las vulnerabilidades conocidas que se pueden utilizar libremente.
El proveedor, que no ha visto comprometidos sus equipos, recomienda que los usuarios de los dispositivos afectados reinicien sus equipos en modo fábrica y los actualicen con los últimos parches.
