Primeras medidas para detener a VPNFilter

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

VPNFilter es un malware descubierto por el equipo de investigación de Cisco Talos y que ha infectado alrededor de 500.000 routers de varios fabricantes en al menos 54 países. El malware dispone de varias capacidades para permitir tanto la recopilación de información como la realización de ciberataques destructivos.  De hecho, el análisis de esta amenaza ha revelado que comparte código con algunas variantes de BlackEnergy, lo que puede dar pistas sobre la finalidad real de este ataque y quién se encuentra detrás.

Debido a la gravedad de esta amenaza, ESET ha recopilado unos puntos clave para conocer de forma rápida en qué consiste este malware y qué medidas se están tomando.

Según explica esta firma de seguridad, los investigadores de Cisco Talos han observado que VPNFilter ha ido infectando objetivos en Ucrania a una velocidad alarmante en las últimas semanas, utilizando incluso un centro de mando y control específico para ese país. De hecho, el pasado 8 de mayo se observó un incremento muy notable en el número de infecciones y con la mayor parte de las víctimas localizadas en Ucrania.

En ese momento ya se conocía que VPNFilter compartía código con BlackEnergy, utilizado en varias ocasiones contra objetivos en ese país, y ese pico de detecciones podría representar un ataque inminente. El pasado día 17 de mayo se volvió a observar un pico de detecciones en Ucrania, lo que ha provocado que se comparta la información de esta investigación a pesar de que aún se encuentre en desarrollo.

Con toda la información recopilada en incidentes anteriores ocurridos en Ucrania, desde ESET destacan que no es de extrañar que ya se estén empezando a oír las primeras voces de alarma sobre futuros ataques a los ciudadanos, empresas e instalaciones críticas de este país.

El Departamento de Justicia de Estados Unidos ya ha anunciado medidas para detener el funcionamiento de esta botnet.

En ellas el FBI tiene autorización para tomar el control de un dominio que forma parte de la infraestructura de centros de mando y control. Esto permitirá redirigir a los dispositivos infectados a un servidor controlado por el FBI, obteniendo la dirección IP de los dispositivos infectados y, con la colaboración de The Shadowserver Foundation, proporcionar estas direcciones a aquellos organismos como CERTs nacionales que puedan ayudar a las víctimas.

Además, en ese mismo anuncio se menciona al grupo APT28 (también conocido como Fancy Bear, Sednit o Sofacy, entre otros nombres) como responsable de desarrollar esta amenaza y llevar a cabo los ataques. No obstante, ESET recuerda en que hay que tener cuidado a la hora de hacer atribuciones ya que “aunque es muy probable que el FBI tenga indicios de sobra como para acusar a este grupo, no sería la primera vez que algo que parece evidente resulta ser una pista falsa”.

La compañía dice que puede que estemos ante una campaña de ataques dirigidos a una nación en concreto o ante algo más grande, pero todavía “hay que esperar a obtener más información para poder saber exactamente a qué nos enfrentamos”, concluye.