Mais de meio milhão de roteadores e dispositivos de armazenamento em dezenas de países foram infectados com um malware altamente sofisticado de botnet IoT, provavelmente projetado por um grupo patrocinado pelo governo da Rússia.
A unidade de inteligência cibernética Talos da Cisco descobriu uma peça avançada de malware de botnet da IoT, apelidado de VPNFilter , que foi projetado com recursos versáteis para reunir inteligência, interferir nas comunicações da Internet, bem como realizar operações destrutivas de ataques cibernéticos.
O malware já infectou pelo menos 500.000 pessoas em pelo menos 54 países, a maioria dos quais são roteadores de escritórios domésticos e pequenos e dispositivos de armazenamento conectados à Internet da Linksys, MikroTik, NETGEAR e TP-Link. Alguns dispositivos NAS (Network Attached Storage) conhecidos por terem sido também alvo.
O VPNFilter é um malware modular de vários estágios que pode roubar credenciais de sites e monitorar controles industriais ou sistemas SCADA, como aqueles usados em redes elétricas, outras infraestruturas e fábricas.
O malware se comunica pela rede de anonimato do Tor e ainda contém um killswitch para os roteadores, onde o malware deliberadamente se mata.
Ao contrário da maioria dos outros malwares que têm como alvo os dispositivos da Internet das coisas (IoT), o primeiro estágio do VPNFilter persiste durante a reinicialização, ganhando uma posição persistente no dispositivo infectado e permitindo a implantação do malware de segundo estágio.
O VPNFilter é nomeado após um diretório (/ var / run / vpnfilterw) criado pelo malware para ocultar seus arquivos em um dispositivo infectado.
Como a pesquisa ainda está em andamento, os pesquisadores da Talos "não têm provas definitivas de como o agente de ameaça está explorando os dispositivos afetados", mas acreditam fortemente que o VPNFilter não explora nenhuma vulnerabilidade de dia zero para infectar suas vítimas.
Em vez disso, o malware direciona os dispositivos ainda expostos a vulnerabilidades públicas conhecidas ou que possuem credenciais padrão, tornando o compromisso relativamente simples.
Os pesquisadores do Talos têm alta confiança de que o governo russo está por trás do VPNFilter porque o código de malware se sobrepõe às versões do BlackEnergy - o malware responsável por múltiplos ataques em grande escala direcionados a dispositivos na Ucrânia que o governo dos EUA atribuiu à Rússia.
Embora os dispositivos infectados com o VPNFilter tenham sido encontrados em 54 países, os pesquisadores acreditam que os hackers estão atacando especificamente a Ucrânia, após um aumento nas infecções por malware no país em 8 de maio.
"O malware tem uma capacidade destrutiva que pode inutilizar um dispositivo infectado, que pode ser acionado em máquinas de vítimas individuais ou em massa, e tem o potencial de cortar o acesso à internet de centenas de milhares de vítimas em todo o mundo", disse William Largent, pesquisador do Talos. em um post no blog.Os pesquisadores disseram que divulgaram suas descobertas antes da conclusão de suas pesquisas, devido à preocupação com um potencial ataque contra a Ucrânia, que tem sido repetidamente vítima de ataques cibernéticos russos, incluindo queda de energia em larga escala e NotPetya .
Se você já estiver infectado com o malware, redefina o roteador para o padrão de fábrica para remover o malware potencialmente destrutivo e atualizar o firmware do seu dispositivo assim que possível.
Você precisa estar mais atento à segurança de seus dispositivos inteligentes de IoT. Para evitar esses ataques de malware, recomendamos que você altere as credenciais padrão do seu dispositivo.
Se o seu roteador está vulnerável por padrão e não pode ser atualizado, jogue-o fora e compre um novo, é simples assim. Sua segurança e privacidade valem mais do que o preço de um roteador.
Além disso, sempre coloque seus roteadores atrás de um firewall e desligue a administração remota até que você realmente precise.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário