El análisis continuo del malware de enrutador VPNFilter sofisticado, revelado por la empresa de redes Cisco hace dos semanas y que se cree que infectó hasta 500,000 dispositivos, encontró que el ataque es potencialmente más peligroso para los usuarios de lo que se pensaba anteriormente y afecta a una gama mucho más amplia de dispositivos.

El malware modular se dirige a equipos de red como enrutadores domésticos y de pequeñas empresas, cajas NAS y conmutadores de red, y ahora se ha descubierto en dispositivos de ASUS, D-Link, Huawei, Ubiquiti, UPVEL y ZTE..

Originalmente, los investigadores de Talos Labs de Cisco encontraron que VPNFilter residía en dispositivos de Linksys, Netgear, QNAP y TP-Link. Es probable que el nombre de Huawei en la lista reciba la mayor atención, ya que el proveedor es un fabricante popular de dispositivos originales para grandes proveedores de servicios de Internet como TalkTalk, con sede en el Reino Unido..

La infección inicial se consideró lo suficientemente peligrosa como para que, poco después de que Cisco revelara su existencia, el FBI tomara medidas para confiscar un dominio que el malware estaba usando como servidor de comando y control..

La agencia de ley de EE. UU. También emitió una advertencia global a los propietarios de dispositivos potencialmente infectados, pidiéndoles que reinicien su equipo, un paso que borraría las partes más peligrosas del malware y ayudaría a evitar que pueda causar más daños.

  • Relacionado: El nuevo código de seguridad de internet de las cosas tiene como objetivo acabar con Mirai y otras amenazas

Nuevas capacidades descubiertas.

Inicialmente, pensada para ser una botnet bastante estándar, que usaría equipo infectado para realizar ataques cibernéticos en otros objetivos, el Talos Intelligence Group de Cisco ha descubierto nuevas capacidades en el malware, que podrían poner en riesgo a los propietarios de enrutadores infectados.

En particular, un módulo llamado 'ssler' parece específicamente diseñado para comprometer el tráfico de Internet que se envía hacia y desde un enrutador infectado. El módulo utiliza un ataque de estilo 'man in the middle' que intenta degradar el tráfico web seguro HTTPS para que los datos se envíen a través de HTTP como texto sin cifrar, lo que hace que la información confidencial, como los inicios de sesión y las contraseñas, sea mucho más fácil de interceptar y capturar.

Cisco no ha revelado el número total de dispositivos adicionales que ahora cree que podrían estar infectados, pero ha dicho que a pesar de las advertencias anteriores de que los usuarios deberían reiniciar los dispositivos de amenaza, el malware aún persiste en la naturaleza y que la amenaza "continúa creciendo.”.

Cisco proporcionó una lista actualizada de dispositivos que podrían verse afectados, por lo que si posee uno de los siguientes, se le recomienda encarecidamente que lo reinicie:

  • Asus RT-AC66U (nuevo)
  • Asus RT-N10 (nuevo)
  • Asus RT-N10E (nuevo)
  • Asus RT-N10U (nuevo)
  • Asus RT-N56U (nuevo)
  • Asus RT-N66U (nuevo)
  • D-Link DES-1210-08P (nuevo)
  • D-Link DIR-300 (nuevo)
  • D-Link DIR-300A (nuevo)
  • D-Link DSR-250N (nuevo)
  • D-Link DSR-500N (nuevo)
  • D-Link DSR-1000 (nuevo)
  • D-Link DSR-1000N (nuevo)
  • Huawei HG8245 (nuevo)
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000 (nuevo)
  • Linksys E3200 (nuevo)
  • Linksys E4200 (nuevo)
  • Linksys RV082 (nuevo)
  • Linksys WRVS4400N
  • Mikrotik CCR1009 (nuevo)
  • Mikrotik CCR1016
  • Mikrotik CCR1036
  • Mikrotik CCR1072
  • Mikrotik CRS109 (nuevo)
  • Mikrotik CRS112 (nuevo)
  • Mikrotik CRS125 (nuevo)
  • Mikrotik RB411 (nuevo)
  • Mikrotik RB450 (nuevo)
  • Mikrotik RB750 (nuevo)
  • Mikrotik RB911 (nuevo)
  • Mikrotik RB921 (nuevo)
  • Mikrotik RB941 (nuevo)
  • Mikrotik RB951 (nuevo)
  • Mikrotik RB952 (nuevo)
  • Mikrotik RB960 (nuevo)
  • Mikrotik RB962 (nuevo)
  • Mikrotik RB1100 (nuevo)
  • Mikrotik RB1200 (nuevo)
  • Mikrotik RB2011 (nuevo)
  • Mikrotik RB3011 (nuevo)
  • Mikrotik RB Groove (nuevo)
  • Mikrotik RB Omnitik (nuevo)
  • Mikrotik STX5 (nuevo)
  • Netgear DG834 (nuevo)
  • Netgear DGN1000 (nuevo)
  • Netgear DGN2200
  • Netgear DGN3500 (nuevo)
  • Netgear FVS318N (nuevo)
  • Netgear MBRN3000 (nuevo)
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200 (nuevo)
  • Netgear WNR4000 (nuevo)
  • Netgear WNDR3700 (nuevo)
  • Netgear WNDR4000 (nuevo)
  • Netgear WNDR4300 (nuevo)
  • Netgear WNDR4300-TN (nuevo)
  • Netgear UTM50 (nuevo)
  • QNAP TS251
  • QNAP TS439 Pro
  • Dispositivos QNAP NAS que ejecutan software QTS
  • TP-Link R600VPN
  • TP-Link TL-WR741ND (nuevo)
  • TP-Link TL-WR841N (nuevo)
  • Ubiquiti NSM2 (nuevo)
  • Ubiquiti PBE M5 (nuevo)
  • Upvel: Modelos desconocidos (nuevo)
  • ZTE ZXHN H108N (nuevo)
  • Si su enrutador está en esa lista, podría ser el momento de considerar una actualización. Estas son las recomendaciones de TechRadar para los mejores enrutadores de 2018.