Miles de redes todavía tienen dispositivos infectados con el infame malware VPNFilter, que causó revuelo en la comunidad de ciberseguridad en 2018, revela una nueva investigación de Trend Micro.
Principalmente centrado en Ucrania, el malware diseñado para infectar enrutadores y ciertos dispositivos de almacenamiento conectados a la red había atraído la atención debido a la selección de más de 50 modelos de dispositivos, incluidos los de ASUS, D-Link, Huawei, Linksys, MikroTik, Netgear, QNAP, TP -Link, Ubiquiti, UPVEL y ZTE. Puede robar datos, contiene un "interruptor de apagado" diseñado para deshabilitar el enrutador infectado con un comando, puede monitorear los protocolos Modbus SCADA y puede persistir si el usuario reinicia el enrutador. El FBI cree que el malware fue desarrollado por el grupo Fancy Bear APT que se cree está vinculado a Rusia. Según las estimaciones, a mayo de 2018, al menos 500.000 dispositivos en 54 países estaban infectados con este malware.
“Si bien VPNFilter ganó una atención considerable y se convirtió en una amenaza cuando se descubrió por primera vez, esto sucedió en 2018. Esto significa que ya se han utilizado varias tácticas de mitigación para convertir VPNFilter esencialmente fuera de línea. Con las incautaciones de dominios y todas las acciones tomadas para detener el malware, por lo tanto, vale la pena preguntarse por qué todavía existen infecciones ”, dijo Trend Micro.
Para determinar si la botnet VPNFilter sigue siendo una amenaza grave, los investigadores se han puesto en contacto con The Shadowserver Foundation, una organización de seguridad sin fines de lucro, que junto con Cisco Talos, el FBI y el Departamento de Justicia de EE. UU. Hundió uno de los comandos y control de VPNFilter. dominios (toknowall [.] com).
“Cuando Shadowserver inició el sumidero, vieron un pico inicial de más de 14.000 redes infectadas en los primeros dos meses; con el tiempo, eso se ha reducido a 5.447. Esto muestra que incluso después de más de dos años, todavía queda un número considerable de infecciones. En particular, a este ritmo, es probable que las infecciones sigan existiendo durante los próximos años, hasta que tal vez estos dispositivos se cambien físicamente, una tendencia común en las redes de bots de IoT ”, escribieron los investigadores.
El mayor número de infecciones se ha observado en Ucrania (18,42%), Estados Unidos (14,48%), Italia (10,26%), Reino Unido (8,05%), Francia (7,26%) y Taiwán (5,31%).
Los investigadores de seguridad también decidieron verificar cuántos hosts infectados responderían a una nueva dirección IP de C&C controlada por ellos y cuántos de los dispositivos aún estaban esperando una carga útil de segunda etapa. Para ello, los investigadores crearon un paquete que contenía la dirección IP del servidor de la segunda etapa y lo enviaron. El resultado fue que 1.801 redes respondieron, mientras que 363 de las redes llegaron hasta el sumidero en el puerto TCP 443.
“Aunque solo 363 redes conectadas a nuestro sumidero, no podemos asumir que las 1,801 redes que nos dieron una respuesta positiva inicial estén limpias. Es posible que aún estén infectados por VPNFilter, pero la conexión a nuestro sumidero podría haberse bloqueado si están detrás de un firewall ”, dijeron los investigadores.
“Si bien no es probable que el actor malintencionado siga en los sistemas infectados, el malware aún puede tener un impacto negativo potencial. Con solo un poco de comprensión, otro actor malintencionado puede reactivar la botnet ”, advirtió Trend Micro.
