Un elemento tan crucial para usuarios y empresas de todos los tamaños como son los routers vienen siendo desde hace algún tiempo uno de los dispositivos preferidos de los ciberdelincuentes. Debido a la gravedad de esta amenaza, ESET ha recopilado unos puntos clave para conocer de forma rápida en qué consiste este malware y cómo proteger nuestros dispositivos.
Índice de temas
¿Qué es VPNFilter?
VPNFilter es un malware descubierto por el equipo de investigación de Cisco Talos y que ha infectado alrededor de 500.000 routers de varios fabricantes en al menos 54 países. El malware dispone de varias capacidades para permitir tanto la recopilación de información como la realización de ciberataques destructivos.
¿Cuál es el objetivo?
Los investigadores de Cisco Talos han observado que VPNFilter ha ido infectando objetivos en Ucrania a una velocidad alarmante en las últimas semanas, utilizando incluso un centro de mando y control específico para ese país. De hecho, el pasado 8 de mayo se observó un incremento muy notable en el número de infecciones y con la mayor parte de las víctimas localizadas en Ucrania.
El pasado día 17 de mayo se volvió a observar un pico de detecciones en Ucrania, lo que ha provocado que se comparta la información de esta investigación a pesar de que aún se encuentre en desarrollo.
VPNFilter ha infectado cerca de 500.000 routers de varios fabricantes en al menos 54 países
¿Quién puede estar detrás?
Por un lado, podríamos estar ante un ataque de falsa bandera que quiera incriminar a los sospechosos habituales para generar una crisis geopolítica que dinamite las relaciones entre el país acusado de ser responsable del ataque y la víctima y sus aliados.
Lo que sí apuntan desde Cisco Talos es que, con las pruebas obtenidas hasta el momento, parece que esta amenaza está relacionada de alguna forma con acciones patrocinadas por un estado, aunque hemos de tomar esta información con pinzas, ya que la investigación aún sigue en desarrollo.
¿Qué medidas se están adoptando?
En el día de ayer (23 de mayo), el Departamento de Justicia de los Estados Unidos de América anunció que tomarían medidas para detener el funcionamiento de esta botnet. En este anuncio se informó de la autorización concedida al FBI para tomar el control de un dominio que forma parte de la infraestructura de centros de mando y control. Esto permitirá redirigir a los dispositivos infectados a un servidor controlado por el FBI, obteniendo la dirección IP de los dispositivos infectados y, con la colaboración de The Shadowserver Foundation, proporcionar estas direcciones a aquellos orgnismos como CERT nacionales que puedan ayudar a las víctimas.
