VPN filter

From FdIwiki ELP
Jump to: navigation, search

Versión en inglés

VPNFilter es un malware que va dirigido a tu router en vez de a tu PC, teniendo un impacto global de infecciones enorme debido a la poca previsión a este tipo de ataques y a la transparencia en la se ejecuta al no hacer uso directamente en los dispositivos principales. Se estima que en su detección inicial se ha valorado mas 500.000 dispositivos infectados, encontrando grandes botnets. Inicialmente se pensaba que su función principal era la de poder ejecutar todas las funcionalidades que te ofrece una botnet, pero se ha descubierto que su principal objetivo es la de actuar frente a los dispositivos internos de las redes haciendo uso de su función de man-in-the-middle, pudiendo interceptar el tráfico que pasa a través de un dispositivo infectado para inyectar su código malicioso, tiene la capacidad de robar datos, realizar transferencias bancarias de la cuenta de la víctima, infectar a otros dispositivos dentro de la red una vez infectado alguno e incluso inutilizar los dispositivos infectados.


Marcas de routers con posibilidad de infección conocidos

Si tienes un router o dispositivo de alguna de estas marcas se recomienda que compruebes si tu modelo es vulnerable a este ataque.

  • ASUS:
    • PRT-AC66U
    • PRT-N10
    • PRT-N10E
    • PRT-N10U
    • PRT-N56U
    • PRT-N66U
  • D-LINK:
    • PDES-1210-08P (new)
    • PDIR-300 (new)
    • PDIR-300A (new)
    • PDSR-250N (new)
    • PDSR-500N (new)
    • PDSR-1000 (new)
    • PDSR-1000N (new)
  • HUAWEI:
    • PHG8245 (new)
  • LINKSYS:
    • PE1200
    • PE2500
    • PE3000
    • PE3200
    • PE4200
    • PRV082
    • PWRVS4400N
  • MIKROTIK DEVICES:
    • PCCR1009 (new)
    • PCCR1016
    • PCCR1036
    • PCCR1072
    • PCRS109 (new)
    • PCRS112 (new)
    • PCRS125 (new)
    • PRB411 (new)
    • PRB450 (new)
    • PRB750 (new)
    • PRB911 (new)
    • RB921 (new)
    • RB941 (new)
    • RB951 (new)
    • RB952 (new)
    • RB960 (new)
    • RB962 (new)
    • RB1100 (new)
    • RB1200 (new)
    • RB2011 (new)
    • RB3011 (new)
    • RB Groove (new)
    • RB Omnitik (new)
    • STX5 (new)
  • NETGEAR DEVICES:
    • DG834 (new)
    • DGN1000 (new)
    • DGN2200
    • DGN3500 (new)
    • FVS318N (new)
    • MBRN3000 (new)
    • R6400
    • R7000
    • R8000
    • WNR1000
    • WNR2000
    • WNR2200 (new)
    • WNR4000 (new)
    • WNDR3700 (new)
    • WNDR4000 (new)
    • WNDR4300 (new)
    • WNDR4300-TN (new)
    • UTM50 (new)
  • QNAP DEVICES:
    • TS251
    • TS439 Pro
    • Other QNAP NAS devices running QTS software
  • TP-LINK DEVICES:
    • R600VPN
    • TL-WR741ND (new)
    • TL-WR841N (new)
  • UBIQUITI DEVICES:
    • NSM2
    • PBE M5
  • UPVEL:
    • Unknown Models*
  • ZTE:
    • PZXHN H108N (new)

Recomendación para evitar/limpiar posibles infecciones

Debido al ataque masivo encontrado usando este método de infección, se han establecido unas pautas de contingencia recomendadas por organismos como Kaspersky, Norton o el FBI.

- 1. Reiniciar el router y cambiar las credenciales. El reinicio no elimina el malware, pero limita sus funcionalidades.

- 2. Restablecer los valores de fábrica del dispositivo

- 3. Actualizar a la última version del firmware

- 4. Desactivar la administración remota antes de volver a conectarlo a internet. (Servicios como telnet, ssh entre otros)

Además de estas pautas de contingencia también se recomienda cambiar las contraseñas preestablecidas de fábrica y comprobar usualmente las direcciones mac conectadas a nuestra red.


Enlaces relacionados

Qué hace VPN Filter

500.000 routers infectados

Lista de routers vulnerables