¿Tienes un malware ‘bomba de tiempo’ acechando en tu router?
De acuerdo a Sophos, los investigadores de Cisco Talos revelaron un informe en el que se documenta una red gigante de bots IoT conocida como VPNFilter. En consecuencia más de 500 mil dispositivos en todo el mundo están infectados con este malware (software malicioso), la mayoría de ellos son routers de Internet de consumo doméstico de diferentes proveedores, con algunos dispositivos NAS (almacenamiento conectado a la red) que también fueron atacados.
Las redes de bots o zombies son capaces de montar ataques simultáneos a gran escala en todo el mundo, también pueden adaptarse y actualizarse para incluir nuevas capacidades de malware que los ladrones deseen añadir posteriormente. En algunos casos, como el malware VPNFilter, los zombies incluyen un comando especial para implementar lo que se podría llamar una política “¡huye, la policía está en camino!», donde el malware se elimina deliberadamente, y a veces, también al dispositivo en el que se ejecuta, explicó la firma especializada en ciberseguridad.
VPNFilter no sólo incluye un comando de eliminación, de acuerdo con Cisco, sino que el comando de eliminación sobreescribe en la memoria flash del dispositivo, lo cual deja inservible al router infectado, advirtió Sophos.
Asimismo informó haber examinado una muestra de este zombie en el que el comando de eliminación inmediatamente cerró el malware, pero no trató de limpiar el dispositivo, por lo que asumió la existencia distintas variantes de la familia VPNFilter con diferentes características programadas.
Según Cisco, el malware VPNFilter también incluye un componente de actualización automática, permitiendo que su funcionalidad sea actualizada a voluntad; uno de los módulos de malware adicionales encontrados hasta ahora es un supuesto “sniffer de paquetes”.
Los sniffers entran en el software de red dentro del sistema operativo para que puedan monitorear los paquetes de red, buscando datos de interés en cualquier tráfico de red que no esté encriptado. Por lo anterio Sophos recomendó:
1.- Contactar al proveedor de internet para averiguar cómo hacer una actualización de firmware. Muchos routers reciben actualizaciones de seguridad de vez en cuando, pero a menudo no se descargan ni se instalan automáticamente. Por lo general, es necesario iniciar sesión en la consola de administración y comprobar.
2.- Apagar la administración remota a menos que realmente la necesites. Muchos routers permiten acceder a la interfaz de administración desde el lado de Internet, así como desde el lado LAN del dispositivo. Algunos incluso vienen así de fábrica. Los ladrones rutinariamente escanean Internet para probar las pantallas de login que no están visibles y que por eso son menos propensos a ser asegurados correctamente.
3.- Escoger contraseñas apropiadas. Muchos routers llegan con una contraseña de administrador preestablecida, y algunos enrutadores no obligan a elegir una nueva contraseña cuando se configuran por primera vez. Los ladrones tienen extensas listas de nombres de usuario y contraseñas por defecto para todo tipo de dispositivos de internet.
4.- Apegarse a los sitios “https” lo más posible. En términos generales, las conexiones web que aparecen con un candado en el navegador son encriptadas end-to-end, por lo que no pueden ser olfateadas a lo largo del camino por un dispositivo de internet no confiable.
La ejecución de una actualización de firmware en muchos routers domésticos eliminará el VPNFilter, junto con otras cepas de malware de router. Si ya está actualizado y no hay sospechas de que tu dispositivo esté infectado, una actualización de firmware dará una doble tranquilidad, enfatizó la compañía.
