Cisco ha detectado una nueva botnet de más de 500.000 routers y dispositivos de almacenamiento conectados en red (NAS) infectadas en 54 países diferentes. La actividad principal que ha tenido la botnet han sido ataques DDoS, aunque sus funcionalidades comprenden también la recolección de datos. El FBI ha tomado el control de la misma y piden resetear todos los routers por motivos de seguridad.

Recursos afectados

El principal objetivo son routers domésticos y dispositivos de almacenamiento NAS.

La botnet afecta a los siguientes dispositivos:

•  Linksys E1200

•  Linksys E2500

•  Linksys WRVS4400N

•  Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072

•  Netgear DGN2200

•  Netgear R6400

•  Netgear R7000

•  Netgear R8000

•  Netgear WNR1000

•  Netgear WNR2000

•  QNAP TS251

•  QNAP TS439 Pro

•  Other QNAP NAS devices running QTS software

•  TP-Link R600VPN.

[ACTUALIZACIÓN 07/06/2018]

Expertos en Ciberseguridad de Cisco y Symantec han detectado nuevos rooters afectados por la botnet VPNFilter. La lista actualizada incluye los siguientes:

•  Asus RT-AC66U.

•  Asus RT-N10.

•  Asus RT-N10E.

•  Asus RT-N10U.

•  Asus RT-N56U.

•  Asus RT-N66U.

•  D-Link DES-1210-08P.

•  D-Link DIR-300.

•  D-Link DIR-300A.

•  D-Link DSR-250N.

•  D-Link DSR-500N.

•  D-Link DSR-1000.

•  D-Link DSR-1000N.

•  Huawei HG8245.

•  Linksys E3000.

•  Linksys E3200.

•  Linksys E4200.

•  Linksys RV082.

•  Linksys WRVS4400N.

•  Mikrotic CCR1009.

•  Mikrotic CCR1016.

•  Mikrotic CCR1036.

•  Mikrotic CCR1072.

•  Mikrotic CRS109.

•  Mikrotic CRS112.

•  Mikrotic CRS125.

•  Mikrotic RB411.

•  Mikrotic RB450.

•  Mikrotic RB750.

•  Mikrotic RB911.

•  Mikrotic RB921.

•  Mikrotic RB941.

•  Mikrotic RB951.

•  Mikrotic RB952.

•  Mikrotic RB960.

•  Mikrotic RB962.

•  Mikrotic RB1100.

•  Mikrotic RB1200.

•  Mikrotic RB2011.

•  Mikrotic RB3011.

•  Mikrotic RB Groove.

•  Mikrotic RB Omnitik.

•  Mikrotic STX5.

•  Netgear DG834.

•  Netgear DGN1000.

•  Netgear DGN3500.

•  Netgear FVS318N.

•  Netgear MBRN3000.

•  Netgear WNR2200.

•  Netgear WNR4000.

•  Netgear WNDR3700.

•  Netgear WNDR4000.

•  Netgear WNDR4300.

•  Netgear WNDR4300-TN.

•  Netgear UTM50.

•  TP-Link TL-WR741ND.

•  TP-Link TL-WR841N.

•  Ubiquiti NSM2.

•  Ubiquiti PBE M5.

•  Upvel Modelos desconocidos.

•  ZTE ZXHN H108N.

Solución

La botnet ya ha sido controlada por el gobierno de EEUU y no supone ningún peligro, pero se recomienda tomar una serie de medidas para evitar una nueva infección similar:

•  Los usuarios de los routers y/o dispositivos de almacenaciento NAS deben restablecer los valores predeterminados de fábrica, reiniciarlos con el fin eliminar el malware potencialmente destructivo y deshabilitar la administración remota del mismo antes de conectarlo a Internet para evitar la reinfección. En caso de duda consultar con el proveedor.

•  Los proveedores de servicios de Internet que proporcionan routers a sus usuarios deben reiniciarlos en nombre de sus clientes.

•  Si tienes alguno de los dispositivos afectados por esta amenaza, es importante que contactes con el fabricante para asegurarte de que tu dispositivo esté actualizado con las últimas versiones de los parches. De lo contrario, deberás aplicarlos de inmediato.

Te aconsejamos usar nuestro servicio AntiBotnet para poder identificar si desde tu conexión a Internet se ha detectado algún incidente de seguridad relacionado con las botnets.

Detalles

Este malware utiliza técnicas más sofisticadas que la mayoría de las botnets. El proceso de infección se realiza de forma persistente con el fin de evitar ser borrado cuando se reinicia el dispositivo afectado.

A continuación, el malware ordena al dispositivo descargar un fichero con el fin de ejecutar comandos, obtener ficheros e información personal o incluso inhabilitar el dispositivo.