VPNFilter: cause e metodi di rimozione del virus

Il nuovo malware, noto come MicroTic VPNFilter, recentemente identificato dal Cisco Talos Intelligence Group, ha già infettato più di 500.000 router e dispositivi di archiviazione di rete (NAS), molti dei quali sono a disposizione di piccole imprese e uffici. Ciò che rende questo virus particolarmente pericoloso è che ha una cosiddetta abilità "permanente" di fare del male, il che significa che non scomparirà solo perché il router verrà riavviato.

Come rimuovere il software antivirus - VPNFilter.

Cos'è VPNFilter

Secondo Symantec, "i dati provenienti dalle esche e dai sensori di Symantec mostrano che, a differenza di altre minacce IoT, il virus VPNFilter non sembra eseguire la scansione e cerca di infettare tutti i dispositivi vulnerabili in tutto il mondo." Ciò significa che esiste una certa strategia e un obiettivo di infezione. Come potenziali obiettivi, Symantec ha identificato i dispositivi da Linksys, MikroTik, Netgear, TP-Link e QNAP.

Quindi, come vengono infettati i dispositivi? Questi sono difetti nel software o nell'hardware che creano una sorta di backdoor attraverso il quale un utente malintenzionato può interrompere il funzionamento del dispositivo. Gli hacker utilizzano nomi e password predefiniti standard per infettare i dispositivi o ottenere l'accesso attraverso vulnerabilità note che dovrebbero essere state corrette con aggiornamenti software o firmware regolari. Questo è lo stesso meccanismo che ha provocato massicce violazioni da Equifax lo scorso anno, e questa è probabilmente la più grande fonte di vulnerabilità cyber!

Inoltre, non è chiaro chi siano questi hacker e quali siano le loro intenzioni. Si presume che sia pianificato un attacco su larga scala che renderà inutili i dispositivi infetti. La minaccia è così ampia che il Ministero della Giustizia e l'FBI hanno recentemente annunciato che la corte ha deciso di confiscare i dispositivi sospettati di rottura. La decisione del tribunale contribuirà a identificare il dispositivo vittima, violare la capacità degli hacker di sottrarre informazioni personali e altre informazioni riservate ed effettuare attacchi informatici sovversivi del trojan VPNFilter.

Come funziona il virus

VPNFIlter utilizza un metodo di infezione in due fasi molto sofisticato, il cui scopo è il tuo computer, di diventare vittima della raccolta di informazioni e persino di una descrizione. La prima fase del virus prevede il riavvio del router o dell'hub. Poiché il malware VPNFilter si rivolge principalmente ai router, così come ad altri dispositivi connessi a Internet, nonché al malware Mirai, ciò può accadere a seguito di un attacco botnet automatico che non è implementato a seguito del successo compromesso dei server centrali. L'infezione si verifica attraverso un exploit che provoca il riavvio di un dispositivo intelligente. L'obiettivo principale di questa fase è ottenere un controllo parziale e abilitare l'implementazione della fase 2 dopo il completamento del processo di riavvio. Le fasi della fase 1 sono le seguenti:

  1. Carica una foto da Photobucket.
  2. Vengono avviati gli exploit e vengono utilizzati i metadati per chiamare gli indirizzi IP.
  3. Il virus si connette al server e scarica un programma dannoso, dopo di che lo esegue automaticamente.

Come riportano i ricercatori, come URL separati con la prima fase dell'infezione, ci sono librerie di utenti di foto-oggetti falsi:

  • it / utente / nikkireed11 / libreria
  • com / utente / kmila302 / libreria
  • com / utente / lisabraun87 / libreria
  • com / user / eva_green1 / library
  • com / utente / monicabelci4 / libreria
  • com / user / katyperry45 / library
  • com / utente / saragray1 / libreria
  • com / user / millerfred / library
  • com / user / jeniferaniston1 / library
  • it / utente / amandaseyfried1 / libreria
  • com / utente / suwe8 / libreria
  • com / utente / bob7301 / libreria

Non appena inizia la seconda fase dell'infezione, le effettive funzionalità del malware VPNFilter diventano più estese. Questi includono l'utilizzo del virus nelle seguenti azioni:

  • Si collega a un server C & C.
  • Esegue Tor, PS e altri plugin.
  • Esegue azioni dannose che includono la raccolta di dati, l'esecuzione di comandi, il furto di file, la gestione dei dispositivi.
  • In grado di svolgere attività di autodistruzione.

Associato con la seconda fase dell'infezione dell'indirizzo IP:

  • 121.109.209
  • 12.202.40
  • 242.222.68
  • 118.242.124
  • 151.209.33
  • 79.179.14
  • 214.203.144
  • 211.198.231
  • 154.180.60
  • 149.250.54
  • 200.13.76
  • 185.80.82
  • 210.180.229

Oltre a queste due fasi, i ricercatori sulla sicurezza informatica di Cisco Talos hanno riferito anche di un server di fase 3, il cui scopo è ancora sconosciuto.

Router vulnerabili

Non tutti i router possono soffrire di VPNFilter. Symantec descrive in dettaglio quali router sono vulnerabili. Oggi, VPNFilter può infettare i router Linksys, MikroTik, Netgear e TP-Link, nonché i dispositivi NAS (Network-attached) collegati alla rete. Questi includono:

  • Linksys e1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik Router (per router con versioni core cloud 1016, 1036 e 1072)
  • Netgear DGN2200
  • Netgear r6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Altri dispositivi QNAP NAS con software QTS
  • TP-Link R600VPN

Se si dispone di uno dei dispositivi sopra elencati, consultare la pagina di supporto del produttore per gli aggiornamenti e i suggerimenti sulla rimozione di VPNFilter. La maggior parte dei produttori ha già un aggiornamento del firmware che dovrebbe proteggerti completamente dai vettori di attacco VPNFilter.

Come determinare che il router è infetto

È impossibile determinare il grado di infezione del router anche con l'aiuto di Kaspersky Anti-Virus. Gli specialisti IT di tutte le principali aziende mondiali non hanno ancora risolto questo problema. Le uniche raccomandazioni che possono offrire fino ad ora sono di ripristinare il dispositivo alle impostazioni di fabbrica.

Il riavvio del router aiuterà a sbarazzarsi dell'infezione VPNFilter

Il riavvio del router aiuterà a prevenire lo sviluppo del virus solo nelle prime due fasi. Ha ancora tracce di malware, che infetteranno gradualmente il router. Risolvere il problema aiuterà a ripristinare il dispositivo alle impostazioni di fabbrica.

Come rimuovere VPNFilter e proteggere il router o il NAS

In conformità con le raccomandazioni di Symantec, è necessario riavviare il dispositivo e quindi applicare immediatamente qualsiasi azione necessaria per l'aggiornamento e il flashing. Sembra facile, ma, ancora una volta, la mancanza di aggiornamenti costanti di software e firmware è la causa più comune di attacchi informatici. Netgear consiglia inoltre agli utenti dei loro dispositivi di disabilitare qualsiasi funzione di controllo remoto. Linksys consiglia di riavviare i suoi dispositivi almeno una volta ogni pochi giorni.

La semplice pulizia e reimpostazione del router non elimina completamente il problema, poiché il malware può rappresentare una minaccia complessa che può influire profondamente sugli oggetti firmware del router. Ecco perché il primo passo è verificare se la tua rete è stata esposta a questo malware. I ricercatori Cisco raccomandano fortemente questo completando le seguenti fasi:

  1. Crea un nuovo gruppo di host con il nome "VPNFilter C2" e posizionalo sotto host esterni tramite l'interfaccia utente Java.
  2. Dopodiché, conferma che il gruppo sta scambiando dati controllando i "contatti" del gruppo stesso sul tuo dispositivo.
  3. Se non c'è traffico attivo, i ricercatori consigliano agli amministratori di rete di creare un tipo di segnale di disconnessione, che creando un evento e selezionando un host nell'interfaccia utente basata sul Web avvisa non appena il traffico si verifica in un gruppo di host.

Al momento è necessario riavviare il router. Per fare ciò, basta scollegarlo dall'alimentazione per 30 secondi, quindi ricollegarlo.

Il prossimo passo è ripristinare il router. Informazioni su come fare questo possono essere trovate nel manuale nella scatola o sul sito Web del produttore. Quando si ricarica il router, è necessario assicurarsi che la sua versione del firmware sia la più recente. Ancora una volta, fare riferimento alla documentazione fornita con il router per scoprire come aggiornarlo.

IMPORTANTE. Non utilizzare mai il nome utente e la password predefiniti per l'amministrazione. Tutti i router dello stesso modello useranno questo nome e questa password, il che rende facile cambiare le impostazioni o installare malware.

Non utilizzare mai Internet senza un firewall forte. A rischio sono server FTP, server NAS, server Plex. Non lasciare mai abilitata la gestione remota. Questo può essere utile se si è spesso lontani dalla rete, ma questa è una potenziale vulnerabilità che ogni hacker può sfruttare. Essere sempre aggiornato Ciò significa che dovresti controllare regolarmente il nuovo firmware e reinstallarlo man mano che gli aggiornamenti vengono rilasciati.

Devo resettare le impostazioni del router se il mio dispositivo non è nella lista

Il database dei router nel gruppo a rischio viene aggiornato quotidianamente, pertanto il ripristino del router deve essere eseguito regolarmente. Oltre a controllare gli aggiornamenti del firmware sul sito Web del produttore e a seguire il suo blog o i suoi post nei social network.