Hace un par de semanas les contamos que el FBI de Estados Unidos había lanzado una alerta global para que todos los usuarios de Internet en el mundo reiniciarán sus routers debido un malware conocido como VPNFilter que, entonces, se conocía que había atacado más de 500,000 equipos en 54 países del mundo. Pues ahora nueva información revela que el ataque, que se presume habría sido cometido por hackers rusos, es bastante peor de lo que se pensaba.
Investigadores de la empresa de ciberseguridad Talos, parte del célebre grupo de Cisco, dio a conocer un análisis en el que plantea que la amenaza es más grande de lo que planteó el FBI. Según el reporte, VPNFilter puede atacar a seis nuevas marcas de equipos computacionales, varias de ellas con decenas de modelos afectados, y la escala del ataque podría subir hasta 700,000 dispositivos afectados.
Ahora se sabe también que VPNFilter puede «inyectar contenido malicioso en el tráfico web según pasa por el router», lo que significa que el atacante no solo podría inutilizar el equipo, sino también monitorear su conexión para robar información personal como contraseñas o datos bancarios e incluso implantar el malware a otros dispositivos conectados al router.
Por si fuera poco, este malware tipo botnet presuntamente ruso cuenta con un modo de autodestrucción que borra por completo el rastro de su existencia en los routers si así lo desea el ciberatacante.
¿Se puede solucionar?
En el comunicado hecho público por el FBI se recomendaba reiniciar el router como medida de protección. Sin embargo, al ser un virus persistente (es decir, que se ejecuta al arrancar el dispositivo) realizar solo esta acción no es garantía de eliminar la amenaza, sino solo de ralentizarla en el caso de que, efectivamente, el dispositivo esté comprometido.
Por eso es importante resetear el dispositivo a la configuración de fábrica (en la mayoría, mediante la presión de un botón con un clip o un alfiler en un agujero que traen los aparatos), actualizar el «firmware» con la última versión y cambiar la contraseña por defecto, para que no se vuelva a infectar.
¿Soy potencial víctima?
Hasta ahora en la lista de equipos susceptibles de ataque por VPNFilter figuraban Netgear, TP-Link, Linksys, MicroTik y QNAP. Pero ahora Cisco detectó que también puede llegar a equipos de consumo más masivo como Huawei o ZTE, dos de los mayores fabricantes a nivel mundial. En total se han detectado 58 modelos diferentes de routers afectados, a los que hay que agregar los 16 originales.
Esta es la lista completa de routers afectados actualizada por Talos:
ASUS
- RT-AC66U
- RT-N10
- RT-N10E
- RT-N10U
- RT-N56U
- RT-N66U
D-LINK
- DES-1210-08P
- DIR-300
- DIR-300A
- DSR-250N
- DSR-500N
- DSR-1000
- DSR-1000N
HUAWEI
- HG8245
LINKSYS
- E1200
- E2500
- E3000
- E3200
- E4200
- RV082
- WRVS4400N
MIKROTIK
- CCR1009
- CCR1016
- CCR1036
- CCR1072
- CRS109
- CRS112
- CRS125
- RB411
- RB450
- RB750
- RB911
- RB921
- RB941
- RB951
- RB952
- RB960
- RB962
- RB1100
- RB1200
- RB2011
- RB3011
- RB Groove
- RB Omnitik
- STX5
NETGEAR
- DG834
- DGN1000
- DGN2200
- DGN3500
- FVS318N
- MBRN3000
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200
- WNR4000
- WNDR3700
- WNDR4000
- WNDR4300
- WNDR4300-TN
- UTM50
QNAP
- TS251
- TS439 Pro
- Otros QNAP NAS que usen el software QTS
TP-LINK
- R600VPN
- TL-WR741ND
- TL-WR841N
UBIQUITI
- NSM2
- PBE M5
UPVEL
- Modelos desconocidos
ZTE
- ZXHN H108N