Investigadores de Cisco han publicado un informe que alerta sobre un malware denominado VPNFilter que afecta a routers usados en el ámbito doméstico y en pequeñas empresas, así como a dispositivos de almacenamiento NAS.
Las principales marcas afectadas por este malware son Linksys, MikroTik, NETGEAR, TP-Link y QNAP. Además, según los investigadores de Cisco, se indica que este malware tiene bastantes similitudes con el BlackEnergy
El ataque consta de tres fases: la primera en la que el malware gana persistencia en el dispositivo, es decir, aunque este sea reiniciado el malware en esta primera etapa seguirá estando presente. En las siguientes dos etapas se añaden distintas funcionalidades que mediante un reinicio del dispositivo serían eliminadas. Estas funcionalidades permitirían entre otras acciones el robo de información, ejecución remota de código o dañar el dispositivo incluso hasta el punto de hacerlo inoperativo, lo que llevaría a la imposibilidad del desarrollo de las operaciones diarias de cualquier pyme, causando un grave daño tanto a su imagen como a su reputación.
A pesar de que el reinicio de los dispositivos eliminaría las partes del malware no persistentes, es importante asegurarse de que se elimina el malware instalado en la primera etapa, así como de que se implementan los bloqueos de red necesarios para evitar las fases que proporcionan funcionalidad al malware.
La solución para eliminar parte de este malware pasa por restablecer a los valores de fábrica y reiniciar los routers. Además, se recomienda desactivar la administración remota del dispositivo (antes de conectarlo a Internet), mediante Telnet, SSH, Windbox y HTTP con acceso desde Internet (WAN).
Por último, se recomienda actualizar a las últimas versiones disponibles tanto el firmware, como el software de los dispositivos afectados.
