500 mil roteadores Linksys, MikroTik, NETGEAR e TP-Link infectados
VPNFilter é uma bomba-relógio mundial.
A Cisco revelou hoje a existência de um malware pesquisado "há vários meses" e ainda sem conslusões ou previsão de conclusões sobre a capacidade e o impacto do mesmo.
A descoberta do malware teria sido em 2016. Portanto trata-se de uma bomba-relógio.
Segundo a Cisco, "VPNFilter" atingiu e se replicou em 500 mil dispositivos em 54 países!
Os dispositivos conhecidos afetados pelo VPNFilter são os equipamentos de rede Linksys, MikroTik, NETGEAR e TP-Link no espaço doméstico (SOHO), bem como nos dispositivos NAS (Network-Attached Storage) da QNAP.
Nenhum outro fornecedor, incluindo a Cisco, foi observado como infectado pelo VPNFilter.
A atividade do Malware é ampla, sofisticada e permite, dentre outras coisas, Inspecionar pacotes TCP, raptar credenciais de sites e acessos remotos e destruir ou inutilizar os equipamentos. Como se trata de equipamentos caseiros, sem antivírus, é difícil o seu combate a nível do hardware.
"O malware VPNFilter é uma plataforma modular de múltiplos estágios com recursos versáteis para suportar operações de coleta de inteligência e ataques cibernéticos destrutivos."
Ainda de acordo com a Cisco, o Malware possui três estágios, onde através de um reboot do dispositivo é capaz de ganhar uma posição mais persistente, ao conrário de ser apagado com o reinício do sistema.
"Avaliamos com grande confiança que esse malware é usado para criar uma infraestrutura expansiva e difícil de atribuir que pode ser usada para atender a várias necessidades operacionais do agente de ameaça. Como os dispositivos afetados são legitimamente de propriedade de empresas ou indivíduos, atividades maliciosas conduzidas a partir de dispositivos infectados podem ser erroneamente atribuídas àqueles que foram realmente vítimas do ator. Os recursos incorporados nos vários estágios e plugins do malware são extremamente versáteis e permitiriam que o ator aproveitasse os dispositivos de várias maneiras."
As recomendações são:
- Os usuários dos roteadores SOHO e / ou dos dispositivos NAS os redefinem para os padrões de fábrica e os reinicializam para remover os malwares potencialmente destrutivos e não persistentes dos estágios 2 e 3.
- Os provedores de serviços de Internet que fornecem roteadores SOHO para seus usuários reinicializam os roteadores em nome de seus clientes.
- Se você tiver algum dos dispositivos conhecidos ou suspeitos de serem afetados por essa ameaça, é extremamente importante que você trabalhe com o fabricante para garantir que o dispositivo esteja atualizado com as versões de patch mais recentes. Se não, você deve aplicar os patches atualizados imediatamente.
- Os ISPs devem trabalhar de forma agressiva com seus clientes para garantir que seus dispositivos sejam corrigidos para as versões mais recentes de firmware / software.