Los investigadores de seguridad han descubierto posibilidades aún más peligrosas en VPNFilter, el altamente sofisticado malware multietapa que infectó 500.000 enrutadores en todo el mundo en mayo de este año, lo que hace que pueda extenderse mucho y sea más sofisticado que antes.
Atribuido al APT 28 de Rusia, también conocido como ‘Fancy Bear’, VPNFilter es una plataforma de malware diseñada para infectar enrutadores y dispositivos de almacenamiento conectados a la red de 75 marcas, incluidas Linksys, MikroTik, Netgear, TP-Link, QNAP, ASUS, D-Link , Huawei, ZTE, Ubiquiti y UPVEL.
En mayo, cuando VPNFilter infectó medio millón de enrutadores y dispositivos NAS en 54 países, el FBI se incautó de un dominio clave de comando y control utilizado por el malware y le pidió a los usuarios que reiniciaran sus enrutadores. Inicialmente, se descubrió que VPNFilter se había creado con múltiples módulos de ataque que podrían implementarse en los enrutadores infectados para robar credenciales de sitios web y monitorear controles industriales o sistemas SCADA, como los que se usan en redes eléctricas, otras infraestructuras y fábricas. Sin embargo, en un nuevo informe publicado por el equipo de seguridad Talos Intelligence de Cisco, los investigadores dijeron que exploraron muestras recientes de VPNFilter y encontraron siete nuevos módulos de «tercera etapa» que pueden explotar las redes infectadas permitiendo a los atacantes robar datos y crear una red encubierta para su servidor de comando y control para futuros ataques.
Además de estos 7 nuevos módulos, Talos también descubrió que los atacantes están utilizando la utilidad de administración de MikroTik llamada Winbox, una pequeña utilidad Win32 nativa que permite a los administradores configurar fácilmente sus enrutadores usando un interfaz basado en web, para infectar los enrutadores MikroTik .
Afortunadamente, los investigadores creen que VPNFilter se ha neutralizado por completo, pero es difícil conocer las intenciones futuras de los creadores de amenazas autores de este sofisticado paquete de malware de etapas múltiples y todo en uno.