Masivo ataque global de malware desde Rusia infiltró 500.000 routers, reportó Cisco
Cisco informó que el gobierno ruso probablemente inició una sofisticada campaña de malware que infectó al menos 500.000 enrutadores y otros dispositivos en al menos 54 países. Además de los investigadores de Seguridad de Estados Unidos en Talos, el equipo de inteligencia de amenazas de Cisco también tiene "alta confianza de que esta amenaza está directamente relacionada con APT28". "
APT28, también llamado Fancy Bear, es uno de los dos grupos rusos responsables de piratear y provocar incidentes durante la campaña presidencial 2016 en Estados Unidos.
Aunque el malware, denominado VPNFilter, llegó a docenas de países, se dirigió a dispositivos ucranianos "a un ritmo alarmante", según un blog de Talos.
Los dispositivos afectados por VPNFilter incluyen los equipos de redes Linksys, MikroTik, NETGEAR y TP-Link en el espacio de oficinas pequeñas y hogareñas, así como en los dispositivos de almacenamiento de red (NAS) de QNAP.
VPNFilter permite a los piratas informáticos robar credenciales y datos del sitio web, y puede inutilizar los dispositivos infectados. Se dirige a dispositivos en el perímetro de las redes de las organizaciones que son difíciles de defender, tienen cientos de vulnerabilidades conocidas y son difíciles de parchear.
Talos dice que el malware es particularmente peligroso porque podría ser utilizado para llevar a cabo un ataque global masivo, que podría cortar el acceso a Internet para "cientos de miles de víctimas en todo el mundo".
"Estamos profundamente preocupados por esta capacidad, y es una de las razones por las que hemos estado investigando silenciosamente esta amenaza en los últimos meses", dijo el blog.
En abril, una agencia de EE. UU. Emitió una alerta advirtiendo a las organizaciones estadounidenses y británicas que los actores patrocinados por el estado ruso están apuntando a sus dispositivos de infraestructura de red, como los enrutadores. La alerta fue un esfuerzo conjunto entre el Departamento de Seguridad Nacional (DHS), el Buró Federal de Investigaciones (FBI) y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC).
Por lo pronto, Cisco aclara que no puede confirmar si esta nueva amenaza de malware ruso está relacionada con la advertencia de abril.
Malware ruso
"El VPNFilter comparte código con el malware utilizado en los ataques BlackEnergy," explica un portavoz en un correo electrónico a SDxCentral. "Esta amenaza ha sido atribuida por múltiples fuentes para APT28 (Fancy Bear/aka Sandworm), que se asocia con agencias de inteligencia rusa. Tenemos una gran confianza en que esta amenaza está directamente relacionada con APT28".
BlackEnergy es una familia de malware utilizada para realizar ataques distribuidos de denegación de servicio (DDoS). En 2015, los piratas informáticos lo usaron para cerrar partes de la red energética de Ucrania.
Investigadores de Talos reportaron un aumento en las infecciones VPNFilter de Ucrania el 8 de mayo y de nuevo el 17 de mayo "Llegados a este punto, hemos sido conscientes de la superposición de código entre BlackEnergy y VPNFilter, que el Día de la Constitución de Ucrania se acercaba en junio, y que el momento de anterior los ataques en Ucrania, sumados, sugirieron que un ataque podría ser inminente", explicó el blog.
Ucrania celebra el Día de la Constitución el 28 de junio, y los ataques a gran escala contra Ucrania a menudo golpean cerca de las vacaciones. Por ejemplo, el ataque NotPetya de junio de 2017 eliminó computadoras en Ucrania antes de propagarse a escala mundial. Y el ataque de malware BlackEnergy se realizó dos días antes de Navidad en 2015.
Al descubrir VPNFilter, Cisco notificó a los miembros de Cyber Threat Alliance (CTA), compartiendo muestras de análisis y malware de Talos. CTA es un grupo de 17 principales proveedores de seguridad que incluyen Cisco, McAfee, Fortinet, Palo Alto Networks y Symantec, los cuales comparten información de amenazas diariamente.
Las compañías de miembros ya están usando la nueva información de amenazas para desarrollar protecciones y mitigaciones para sus clientes, según una publicación de blog de CTA. "CTA desempeñó el papel que se pretendía jugar en esta situación", dijo Michael Daniel, presidente y CEO de CTA en un correo electrónico. "Al facilitar el intercambio, CTA ayudó en gran medida a los defensores de la red a responder a la divulgación de Cisco y amplió su trabajo. Este tipo de respuesta no fue posible antes de la creación de CTA".
(*) Encuentre más de la misma fuente aquí.
Fuente: Jessica Lyons Hardcastle (*) – sdxcentral.com