VPNFilter

VPNFilter es un malware de varias etapas diseñado para dirigirse a routers y NAS (almacenamiento conectado a la red) de varios fabricantes. Inicialmente (el 24 de mayo de 2018) se estimó que había infectado al menos a 500. 000 dispositivos en el mundo. Más tarde, sin embargo, se descubrieron otros modelos vulnerables al malware, que podrían agregar otros 200. 000 dispositivos por conteo total. VPNFilter es muy peligroso: es capaz de robar datos, incluso de conexiones que deben usar cifrado; también contiene una función de autodestrucción (o un módulo opcional equivalente) diseñada para desactivar completamente un dispositivo infectado a la orden. Incluso puede permanecer en la memoria cuando el dispositivo se reinicia. El FBI cree que fue creado por el grupo de hackers rusos llamado Fancy Bear (Apt 28).

VPNFilter es muy versátil y es capaz de infectar un número aún no completamente conocido de dispositivos que incluyen varios enrutadores y NAS (consulte la lista actualizada a continuación). Parece que también fue diseñado para apuntar a dispositivos de red industrial que hacen uso del protocolo Modbus para hablar y controlar maquinaria en fábricas y almacenes. El malware contiene código especial, dedicado a golpear los sistemas de control que utilizan el sistema SCADA. Se cree que el malware utiliza contraseñas de fábrica y / o vulnerabilidades conocidas de software desactualizado para infectar dispositivos, sin embargo, los investigadores no están seguros. Sin embargo, se recomienda encarecidamente que cambie sus contraseñas y actualice su software para tratar de contener la propagación de malware. VPNFilter es muy versátil / duradero porque se instala en múltiples etapas: la Etapa 3 es la más versátil y potencialmente peligrosa: puede descargar varios módulos opcionales que incluyen los dos complementos dstr y ssler recientemente descubiertos. VPNFilter olfatea datos en la red conectada a un dispositivo infectado, recopilando información como contraseñas, nombres de usuario y otras credenciales, así como datos de control de red industrial. También hace que el dispositivo infectado sea parte de una botnet que puede usar como fuente para ataques que hacen uso de la información robada.

Tanto Cisco como Symantec sugieren que los propietarios de dispositivos potencialmente infectados realicen un restablecimiento de fábrica. Por lo general, este procedimiento se realiza con un objeto afilado, como un clip de papel, presionando un pequeño botón de reinicio en la parte posterior del dispositivo durante 10 a 30 segundos (dependiendo del modelo). Esto debería eliminar completamente el malware, pero también con el efecto de borrar cualquier cambio en la configuración realizada por el usuario (que luego debe ser restaurado).

Se cree que la infección inicial de VPNFilter solo puede ocurrir con dispositivos que ejecutan un firmware embebido basado en Busybox o Linux compilado para varios procesadores, pero no el Linux estándar que se ejecuta en PC. Los investigadores han identificado los siguientes dispositivos como dispositivos vulnerables y, por lo tanto, potencialmente infectados Asus: dispositivos D - Link: dispositivos Huawei: dispositivos Linksys: Dispositivos Dispositivos Mikrotik dispositivos Netgear dispositivos QNAP dispositivos TP - Link: Dispositivos Dispositivos Ubiquiti Upvel: dispositivos, ZTE, Cisco Talos cree que VPNFilter ha infectado a 500. 000-1m dispositivos en todo el mundo, en 54 países diferentes, aunque con un mayor enfoque en Ucrania.

El FBI ha tomado un papel muy activo en la lucha contra este malware, apoderándose del dominio toknowall. com utilizado por el malware Stage 1 para localizar e instalar copias de las etapas 2 y 3. El 25 de mayo de 2018, el FBI sugirió que todos los propietarios de enrutadores y NAS SOHO reiniciaran su dispositivo. Esto debería eliminar temporalmente las etapas 2 y 3 y dejar solo la Etapa 1, que en ese momento debería intentar recargar las otras etapas. De esa manera, los investigadores deben ser capaces de descubrir todos los dispositivos infectados y potencialmente descubrir otros orígenes de la infección también.

Software malicioso

Desbordamiento de búfer

Desbordamiento de búfer (o desbordamiento de búfer), en Ciencias de la computación, es una condición de error que ocurre en tiempo de ejecución cuando se escrib...

Sqlmap

sqlmap es un software de código abierto para pruebas de penetración, que permite automatizar la detección y explotación de defectos en la inyección SQL y así to...

Técnicas de ataque cibernético

Hacking

Software de seguridad informática gratuito

Software multiplataforma

Software Libre en Python

Sistema abierto.

Software para Debian

Esta página se basa en el artículo de Wikipedia: Fuente, Autores, Licencia Creative Commons Reconocimiento-CompartirIgual.
This page is based on the Wikipedia article: Source, Authors, Creative Commons Attribution-ShareAlike License.
contactos
Política de privacidad , Descargos de responsabilidad