Durante os últimos meses, pelo menos 500 mil routers (para PMEs e consumo) e dispositivos de armazenamento NAS (Network Attached Storage) foram infectados.
Trata-se de “uma das maiores redes de dispositivos infectados descobertas até à data pela Talos”, a divisão de investigação de cibersegurança da Cisco. A grande maioria dos equipamentos está conectada directamente à Internet (sem mecanismos de segurança intermédios) e coordenada através de uma rede TOR privada.
Os dispositivos infectados encontram-se em mais de 54 países. A Ucrânia sofreu o maior pico de infecções, com “um aumento significativo registado durante a primeira quinzena de Maio”.
O malware, denominado ‘VPNFilter’, apresenta semelhanças de código com o BlackEnergy, o qual foi responsável por múltiplos ataques de grande escala a dispositivos na Ucrânia.
A Cisco Talos já comunicou a vulnerabilidade aos fabricantes dos equipamentos (Linksys, MikroTik, NETGEAR, TP-Link e QNAP, até ao momento) e à Cyber Threat Alliance, além de ter criado e implementado mais de 100 assinaturas Snort para as vulnerabilidades conhecidas, que podem ser utilizadas livremente. No entanto, há algum tempo que esta ameaça de segurança já tinha sido resolvida nos dispositivos QNAP através de uma das últimas actualizações do sistema operativo destes NAS. A marca aconselha todos os utilizadores a manterem os seus dispositivos sempre actualizados.
Os utilizadores dos dispositivos afectados devem repor os seus equipamentos para as definições de fábrica e aplicar as actualizações de firmware o mais rapidamente possível.
Via Cisco.
