Seguridad
Ciberseguridad
Malware

VPNFilter obliga a una actualización en la protección

Las compañías plantean una serie de recomendaciones ante la aparición del nuevo malware.

cable

Es la última gran vulnerabilidad descubierta, dentro del cambiante escenario de la ciberseguridad. El equipo de investigación sobre seguridad de Cisco, Talos, alertaba hace poco más de una semana de la existencia de VPNFilter, una “amenaza expansiva, robusta, altamente capaz y peligrosa”, en palabras del grupo. Este malware infecta routers y otros elementos en red, puede realizar diferentes acciones: desde el robo de credenciales del usuario a bloquear el acceso a internet de los dispositivos conectados al elemento contaminado. 

Hasta ahora, se ha cifrado en 500.000 los aparatos afectados, a lo largo de más de 54 países. Entre las compañías cuyos dispositivos se han visto comprometidos hay marcas como TP-Link, Linksys o NetGear. 

Tras las primeras informaciones de Cisco, el FBI recogía el testigo a la hora de difundir la alerta. El organismo federal estadounidense recomendaba como primer paso el reinicio de cualquier dispositivo de red, como medida inicial para interrumpir la expansión del malware, aún de forma temporal. Y en estos primeros días, las compañías de ciberseguridad incrementan sus estudios rápidos sobre la amenaza. 

Desde Fortinet apuntan a un desarrollo en tres fases del malware. En una primera fase, la operativa de la amenaza está centrada en la parte de resistencia y redundancia, pudiendo sobrevivir a un reinicio. Un segundo paso llevaría a la puesta en marcha de determinadas acciones: exfiltración de datos y recopilación de archivos, ejecución de comandos, administración de dispositivos y, en algunos casos, la activación del módulo de autodestrucción. 

En el tercer nivel de actuación de VPNFilter, varios módulos del malware realizarían distintas acciones, de los cuales se han identificado tres hasta la fecha: un rastreador de paquetes para el análisis del tráfico y la posible filtración de datos; monitoreo de los protocolos MODBUS SCADA; y comunicación con direcciones ofuscadas a través de TOR.

La compañía alerta, sin embargo, que la mayor amenaza del malware es el modo de autodestrucción. Esto actuaría en todos los dispositivos infectados a la vez, lo que podría llevar a que se llegase a cortar internet en determinadas áreas geográficas. 
Fortinet también reconoce la dificultar de defenderse de estos ataques, dado que la expansión a través de IoT complica su control, al tratarse de dispositivos conectados directamente a la red.

Desde la empresa de ciberseguridad llaman a una actualización “lo más rápida posible” de los dispositivos potencialmente afectados, indicando que en algunos casos puede ser necesario llegar a reemplazarlos. Por la parte de sus herramientas de seguridad, Fortinet ha comenzado ya a trabajar con la actualización de la cobertura de FortiGate AV e IPS y la incorporación de los elementos sospechosos a FortiGuard Web Filtering. Además, la compañía ha recibido las descripciones o IOCs desde la Cyber Threat Alliance para hacer frente a esta última amenaza a la seguridad.