Al menos 500.000 routers y dispositivos de almacenamiento NAS tanto de usuarios particulares como de empresas han sido infectados en un ciberataque a escala mundial que ha detectado Cisco, y del que acaba de informar públicamente. La compañía asegura que se trata de una infección por un malware denominado «VPNFilter» que se ha venido produciendo durante los últimos meses, y que la cifra de dispositivos infectados podría aumentar considerablemente según avancen las investigaciones.
El principal problema no es solo la infección de estos cientos de miles de equipos, sino el por qué: ya que estos dispositivos infectados usados por ciberdelincuentes se podrían llevar a cabo ciberataques muy destructivos a escala global. Esta es una de las mayores redes de dispositivos infectados descubiertas hasta la fecha por Talos, la división de ciberinteligencia de Cisco.
«La lista no está completa, pero los dispositivos que sabemos por ahora que están afectados por VPNFilter son Linksys, MikroTik, NETGEAR y TP-Link, así como QNAP en el caso de los dispositivos de almacenamiento NAS», apunta William Largent, Investigador de Seguridad de Cisco, quien ha publicado un extenso informe acerca del descubrimiento y la investigación. «El comportamiento de este malware en los equipos de red es muy preocupante, ya que los componentes de VPNFilter permiten robar credenciales y monitorizar el tráfico«, afirma Largent.
Conectados y vulnerables
Como suele ocurrir con la mayoría de los dispositivos de Internet de las Cosas, la gran mayoría de estos aparatos están conectados a internet de forma directa, pero no cuentan con mecanismos de seguridad.
Cisco afirma tras las investigaciones que estos dispositivos están coordinados a través de una red TOR privada, una red anónima de dispositivos. Esto significa que el atacante podría compartir datos entre los dispositivos, coordinando un ataque masivo, en el que cada uno de los equipos conectados actuaría como un nodo.
La compañía señala que esta red incluye un interruptor de apagado, denominado «kill switch», que además podría destruir los equipos, dejándolos inoperativos o eliminando el acceso a internet. No solo eso, sino que también puede llegar a monitorizar el tráfico que pasa por ellos y robar así datos confidenciales.
Más de 54 países afectados
Cisco informa de que se han detectado dispositivos infectados en más de 54 países, aunque insisten en que según avance la investigación todas las cifras podrían aumentar. Ucrania ha sido el país más afectado, y los investigadores de Cisco señalan que el malware tiene similitudes de código con BlackEnergy, el software malicioso que fue responsable de una gran cantidad de ciberataques masivos en el país.
Patrocinado por un estado
«Durante los últimos meses, Talos ha estado trabajando con el sector público y privado y fuerzas de seguridad para investigar un avanzado y sofisticado malware que denominamos VPNFilter, que tiene apariencia de estar patrocinado por algún estado«.
«No hemos completado aún la investigación, pero recientes eventos nos han convencido de que lo más correcto era compartir nuestros descubrimientos para que las partes afectadas pudieran tomar las medidas adecuadas para defenderse».
Si tengo uno de estos dispositivos, ¿qué hago?
Desde Cisco Talos informan de que ya ha comunicado la vulnerabilidad a los fabricantes de los equipos (Linksys, MikroTik, NETGEAR, TP-Link y QNAP, por el momento).
La firma aconseja a los propietarios de los dispositivos afectados que reinicien sus equipos en modo de fábrica y los actualicen con los últimos parches de seguridad cuanto antes.
