Malware russo é pior do que o imaginado

Revelado no final de maio, o malware russo VPNFilter pode ser pior do que o imaginado inicialmente. Isso porque a Cisco Systems atualizou nesta semana a lista de ataques possíveis e de roteadores que podem ser afetados pela ameaça.

Em um post feito no seu blog em 6 de junho, a divisão Talos, da Cisco, afirmou ter descoberto um “novo módulo de estágio 3 que injeta conteúdo malicioso no tráfego web à medida que passa por um aparelho de rede”. Mais conhecido como “man-in-the-middle”, esse ataque permite que os cibercriminosos usem essa vulnerabilidade para interceptar tráfego de rede e injetar código malicioso sem que o usuário fique sabendo.

Isso significa que um hacker pode manipular o que você vê na sua tela enquanto ainda realiza tarefas maliciosas no seu display. Como o gerente sênior de tecnologia da Talos, Craig Williams, afirmou ao site especializado Ars Technica, “Eles podem modificar o saldo da sua conta bancária para que ele pareça normal enquanto que eles retiram dinheiro e potencialmente chaves PGP e coisas do tipo. Eles podem monitorar tudo entrando e saindo do aparelho”. Essa é uma ameaça muito maior do que o imaginado inicialmente.

Quais os roteadores afetados?

O alerta emitido pelo FBI no fim de maio sugere que todos os donos de roteadores devem reiniciar seus aparelhos. Por isso, talvez seja uma boa ideia reiniciar o seu roteador de qualquer forma.

Dito isso, a Symantec publicou a seguinte lista no fim de maio com roteadores e aparelhos NAS que seriam suscetíveis ao VPNFilter.

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS for Cloud Core Routers: Versões 1016, 1036 e 1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Outros aparelhos QNAP NAS rodando software QTS
• TP-Link R600VPN

Nos últimos dias, no entanto, a Cisco, emitiu um alerta afirmando que a ameaça vai além desses modelos acima, e inclui um grupo mais amplo de roteadores fabricados por empresas como Asus, D-Link, Huawei, Ubiquiti, UPVEL e ZTE. Vale lembrar que o FBI e a Cisco recomenda que todos os usuários reiniciem os seus roteadores, independente de eles estarem na lista ou não.

Reiniciar o seu roteador acaba com o que a Cisco chama de Estágio 2 e Estágio 3 do VPNFilter – a parte destrutiva do malware. O processo é simples: simplesmente desconecte o roteador da tomada, espere 30 segundos e plugue-o novamente. Pronto!

Também é recomendado trocar a senha do roteador por um código novo e forte, desabilitar os recursos de gerenciamento remoto (que devem vir desabilitados por padrão na maioria dos casos) e atualizar seu software de antivírus no computador. Além disso, caso você tenha um roteador que esteja na lista de aparelhos afetados pelo VPNFilter pode ser importante realizar um reinício de fábrica nas configurações do dispositivo.

Fonte: IDGNow!

FBI alerta para perigoso malware russo

O FBI emitiu um alerta nos últimos dias contra nova ameaça que teria vindo da Rússia e afetado nada menos do que 500 mil roteadores em todo o mundo. O chamado VPNFilter tem como alvo os aparelhos de marcas populares, a exemplo do Linksys, MicroTik, Netgear e TP-Link. Os dispositivos de armazenamento conectados em rede QNA também estariam na lista.

“O VPNFilter é capaz de tornar inoperantes os pequenos roteadores de escritórios e grupos domésticos. O malware também pode coletar informações que passam pelo aparelho. A detecção e análise da atividade de rede do malware é complicada pelo uso de criptografia e redes atribuídas incorretamente”, diz o alerta. O malware pode roubar suas credenciais e “brickar” os produtos, tornando-os inoperantes.

O VPNFilter vem atuando desde 2016, contudo, os ataques se intensificaram de forma massiva nas duas últimas semanas, com origem na Ucrânia. “O ataque basicamente configura uma rede oculta para permitir a ofensiva em todo o mundo, a partir de uma postura que dificulta sua identificação”, afirmam os especialistas em segurança da Cisco.

A sofisticação leva o Departamento de Justiça dos Estados Unidos a crer que os autores sejam hackers russos e mais, que estariam ligados ao “APT28”, o codinome do setor de segurança para um grupo de hackers patrocinados pelo Estado, também conhecido como “Fancy Bear” e “Sofacy Group” — os mesmos acusados de conduzir ataques eleitorais eleitorais durante a corrida presidencial norte-americana em 2016.

Veja a lista e como resolver o problema

O pessoal da Cisco diz que, na maioria dos casos, apenas resetar o roteador pode afastar o malware. Mas isso pode não ser o suficiente porque o VPNFilter tem uma estrutura que é persistente e assim ele tem grandes chances de retornar. Além disso, é difícil saber se você está infectado. Para aumentar muito as chances de eliminá-lo, é preciso reiniciar o produto para as configurações iniciais de fábrica.

Feito isso, você precisará realizar todo o processo de entrada com nova senha criptografada, via navegador, e atualização de firmware. O uso de antivírus confiáveis para varredura no produto também pode ajudar. Segundo o FBI, não dá para saber ao certo a extensão do estrago e abaixo você pode conferir a lista dos dispositivos que foram identificados com infecção até agora:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers 1016
  • Mikrotik RouterOS for Cloud Core Routers 1036
  • Mikrotik RouterOS for Cloud Core Routers 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Outros dispositivos QNAP NAS rodando software QTS
  • TP-Link R600VPN
Fonte: Tecmundo