O malware ‘VPNFilter’, detetado pela Cisco Talos em conjunto com parceiros especializados em threat inteligence, já afetou 500.000 dispositivos em mais de 54 países


Lisboa, 24 de maio de 2018. – Malware “VPNFilter”: a Cisco detetou uma rede global de dispositivos infetados que podiam provocar um ataque altamente destrutivo à escala global.

O malware ‘VPNFilter’, detetado pela Cisco Talos em conjunto com parceiros especializados em threat inteligence, já afetou 500.000 dispositivos em mais de 54 países

Durante os últimos meses, pelo menos 500.000 routers (para PMEs e consumo) e dispositivos de armazenamento NAS (Network Attached Storage) foram infetados.

Trata-se de uma das maiores redes de dispositivos infetados descobertas até à data pela Talos, a divisão de investigação de cibersegurança da Cisco.

A grande maioria dos equipamentos estão conectados diretamente à Internet (sem mecanismos de segurança intermédios) e coordenados através de uma rede TOR privada (rede anónima de dispositivos).

O atacante podia desta forma partilhar dados entre os dispositivos e coordenar um ataque massivo utilizando os equipamentos como nós de ligação.

Ao incluir um kill switch’, podia também destruir os equipamentos, deixando-os inoperacionais, e eliminar o acesso à Internet a milhares de utilizadores, bem como inspecionar o tráfico e roubar dados confidenciais.

Os dispositivos infetados encontram-se em mais de 54 países.

Ucrânia sofreu o maior pico de infeções, com um aumento significativo registado durante a primeira quinzena de maio.

O malware, denominado ‘VPNFilter’ por se instalar neste diretório, apresenta semelhanças de código com o BlackEnergy, um malware que foi responsável por múltiplos ataques de grande escala a dispositivos na Ucrânia.

O malware ‘VPNFilter’, detetado pela Cisco Talos em conjunto com parceiros especializados em threat inteligence, já afetou 500.000 dispositivos em mais de 54 países

Proteção e recomendações

A Cisco Talos já comunicou a vulnerabilidade aos fabricantes dos equipamentos (Linksys, MikroTik, NETGEAR, TP-Link e QNAP, até ao momento) e à Cyber Threat Alliance, além de ter criado e implementado mais de 100 assinaturas Snort para as vulnerabilidades conhecidas, que podem ser utilizadas livremente.

Os utilizadores dos dispositivos afetados – incluindo fornecedores de Internet – devem repor os seus equipamentos para as definições de fábrica e atualizá-los com as mais recentes atualizações o mais rapidamente possível.

Várias empresas podem também ter parceiros ou colaboradores que se conectam através dos equipamentos infetados, podendo comprometer também as redes corporativas.

Os equipamentos da Cisco não foram comprometidos por esta nova ciberameaças, mas os clientes devem utilizar as soluções Cisco Umbrella, Cloud Web Security e Web Security Appliance como primeira linha de defesa (bloqueio de ataques Command and Control conhecidos) e NGFW e NGIPS para bloquear as ameaças na rede.

Mais informação no blog da Cisco Talos, que será atualizado conforme surgirem novas informações.

ADENDA

A QNAP® Systems, Inc. (QNAP) emitiu hoje um comunicado em resposta às alegações recentes sobre os NAS da QNAP serem propensos a ataques de malware por um programa designado “VPNFilter”.

A QNAP acompanha a presença do VPNFilter desde 2017 – e respondeu com atualizações ao sistema operativo QTS e à aplicação QNAP NAS Malware Remover.

Esta solução foi introduzida em meados de 2017. A Equipa de Segurança da QNAP investiga continuamente todas as ameaças de segurança e lança atualizações de acordo com o que é necessário de forma a proteger os utilizadores de NAS QNAP do impacto de malware e outras ameaças.

Se achar que malware infetou o seu NAS QNAP, instale o Malware Remover a partir do QTS App Centerpara analisar o seu NAS. A QNAP recomenda vivamente que todos os utilizadores NAS atuem segundo as melhores práticas para segurança em tecnologias de informação, utilizando a versão mais recente do QTS e, periodicamente, alterando a sua palavra-passe de conta de administrador NAS.

Para mais informações e consultar as instruções sobre o Malware Remover, atualização do QTS e alteração de palavra-passe de conta de administrador, por favor visite o Assistente de Segurança QNAP No. NAS-201805-24.

João Gata

Começou em vídeo e cinema, singrou em jornalismo, fez da publicidade a maior parte da vida, ainda editou discos e o primeiro dos livros e, porque o bicho fica sempre, juntou todas estas experiências num blogue.

View all posts

Add comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Análises – reviews

Breves

Siga o VoiceBox, um blogue de João Gata