Il malware su router, dispositivi di rete e Internet delle cose è sempre più comune. La maggior parte di essi infettano dispositivi vulnerabili e appartengono a botnet molto potenti. I router e i dispositivi Internet of Things (IoT) sono sempre alimentati, sempre online e in attesa di istruzioni. E le botnet ne approfittano per attaccare questi dispositivi.
Ma non tutti i malware ( malware ) sono uguali.
VPNFilter è un malware distruttivo che attacca router, dispositivi IoT e persino alcuni dispositivi NAS (Network Connected Storage). Come rilevi se i tuoi dispositivi sono infetti dal malware VPNFilter? E come puoi rimuoverlo? Diamo uno sguardo più da vicino a VPNFilter attraverso il seguente articolo.
Che cos'è il filtro VPN antimalware? Come rimuoverlo?
VPNFilter è una sofisticata variante di malware modulare che prende di mira principalmente i dispositivi di rete di una vasta gamma di produttori, nonché i dispositivi NAS. VPNFilter è stato inizialmente trovato sui dispositivi di rete Linksys , MikroTik, NETGEAR e TP-Link , nonché sui dispositivi QNAP NAS, con circa 500.000 infezioni in 54 paesi.
Il team di rilevamento VPNFilter, Cisco Talos, ha recentemente aggiornato i dettagli relativi a questo malware, mostrando che i dispositivi di rete di produttori come ASUS, D-Link, Huawei, Ubiquiti, UPVEL e ZTE stanno attualmente mostrando segni di infezione da VPNFilter. Tuttavia, al momento della stesura di questo articolo, nessun dispositivo di rete Cisco è stato interessato.
Questo malware è diverso dalla maggior parte degli altri malware incentrati sull’IoT perché persiste dopo il riavvio del sistema, rendendone più difficile la rimozione. Particolarmente vulnerabili sono i dispositivi che utilizzano le credenziali di accesso predefinite o che presentano vulnerabilità zero-day (vulnerabilità sconosciute del software del computer) che non vengono regolarmente aggiornati con il firmware .
VPNFilter è un "multimodulo, multipiattaforma" che può danneggiare e distruggere i dispositivi. Inoltre, può anche diventare una minaccia preoccupante, raccogliendo i dati degli utenti. VPNFilter funziona in più fasi.
Fase 1 : VPNFilter nella fase 1 stabilisce un sito di destinazione sul dispositivo, contatta il server di comando e controllo (C&C) per scaricare moduli aggiuntivi e attende istruzioni. La Fase 1 prevede inoltre molteplici contingenze integrate per posizionare la fase 2 C&C, in caso di modifiche infrastrutturali durante l'implementazione. Il malware Stage 1 VPNFilter può anche sopravvivere ai riavvii, rendendolo una minaccia molto pericolosa.
Fase 2 : VPNFilter nella fase 2 non persiste dopo il riavvio, ma in questa fase ha molte funzionalità. La Fase 2 può raccogliere dati personali, eseguire comandi e interferire con la gestione del dispositivo. Inoltre, nella pratica esistono diverse versioni della fase 2. Alcune versioni sono dotate di un modulo distruttivo che sovrascrive una partizione del firmware del dispositivo , quindi si riavvia per rendere il dispositivo inutilizzabile (sostanzialmente disabilitando il malware (configurando router , IoT o dispositivi NAS).
Fase 3 : i moduli VPNFilter nella fase 3 fungono da plug-in per la fase 2, estendendo la funzionalità di VPNFilter. Un modulo che funge da sniffer di pacchetti , raccogliendo il traffico in entrata sul dispositivo e rubando le credenziali di accesso. Un altro tipo consente al malware di fase 2 di comunicare in modo sicuro utilizzando Tor . Cisco Talos ha anche trovato un modulo che iniettava contenuti dannosi nel traffico che passava attraverso il dispositivo, il che significa che gli hacker potevano sfruttare ulteriormente altri dispositivi connessi tramite router, dispositivi IoT o NAS.
Inoltre, i moduli VPNFilter “consentono il furto delle credenziali del sito web e il monitoraggio dei protocolli Modbus SCADA”.
Un'altra caratteristica interessante (ma non scoperta di recente) del malware VPNFilter è l'utilizzo di servizi di condivisione di foto online per trovare l'indirizzo IP del suo server C&C. L'analisi di Talos ha scoperto che il malware punta a una serie di URL di Photobucket. Il malware scarica la prima immagine nella galleria di riferimento URL ed estrae l' indirizzo IP del server nascosto nei metadati dell'immagine.
L’indirizzo IP “viene estratto dai 6 valori interi per la latitudine e la longitudine GPS nelle informazioni EXIF ”. Se fallisce, il malware di fase 1 tornerà al suo dominio normale (toknowall.com - ne parleremo più avanti) per scaricare l'immagine e tentare lo stesso processo.
Il rapporto di aggiornamento di Talos mostra alcuni dettagli interessanti sul modulo di sniffing dei pacchetti VPNFilter. Invece di interferire con tutto, ha una serie di regole rigide, mirate a tipi specifici di traffico. Nello specifico, il traffico proveniente da un sistema di controllo industriale (SCADA), utilizzando la VPN TP-Link R600, si collega a un elenco predefinito di indirizzi IP (che indica una conoscenza avanzata delle reti e del traffico desiderato), nonché pacchetti di dati di 150 byte o più grandi.
“VPNFilter è alla ricerca di cose molto specifiche”, ha detto ad Ars Craig William, responsabile tecnologico senior e responsabile della portata globale presso Talos. Non stanno cercando di raccogliere quanto più traffico possibile. Cercano solo di ottenere alcune cose molto piccole come le informazioni di accesso e le password. Non abbiamo molte informazioni a riguardo, oltre a sapere che è molto mirato ed estremamente sofisticato. Stiamo ancora cercando di scoprire a chi stanno applicando questo metodo."
Si ritiene che VPNFilter sia opera di un gruppo di hacker sponsorizzato dallo stato. L’infezione VPNFilter è stata inizialmente scoperta in Ucraina e molte fonti ritengono che sia opera del gruppo di hacker Fancy Bear, sostenuto dalla Russia.
Tuttavia, nessun paese o gruppo di hacker ha rivendicato la responsabilità di questo malware. Date le regole dettagliate e mirate del malware per SCADA e altri protocolli di sistemi industriali, la teoria secondo cui il software è supportato da uno stato nazionale sembra più probabile.
Tuttavia, l'FBI ritiene che VPNFilter sia un prodotto di Fancy Bear. Nel maggio 2018, l'FBI ha sequestrato un dominio, ToKnowAll.com, che si ritiene fosse stato utilizzato per installare e comandare il malware VPNFilter di fase 2 e fase 3. È probabile che il sequestro di questo dominio abbia sicuramente contribuito a fermare la diffusione immediata di VPNFilter, ma non ha funzionato. non ha risolto completamente il problema. Nel luglio 2018 il Servizio di sicurezza ucraino (SBU) ha impedito un attacco VPNFilter a un impianto di lavorazione chimica.
VPNFilter presenta anche somiglianze con il malware BlackEnergy, un trojan APT utilizzato contro una serie di obiettivi in Ucraina. Ancora una volta, sebbene non vi siano prove precise, gli attacchi contro i sistemi ucraini provengono principalmente da gruppi di hacker con stretti legami con la Russia.
È probabile che il tuo router non sia infetto dal malware VPNFilter. Ma è comunque meglio assicurarsi che il tuo dispositivo sia sicuro:
Controlla il tuo router con il link: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Se il tuo dispositivo non è nell'elenco, va tutto bene.
È possibile visitare la pagina di test VPNFilter di Symantec: http://www.symantec.com/filtercheck/. Seleziona la casella Termini e condizioni, quindi premi il pulsante Esegui VPNFilter Check al centro. Il test verrà completato in pochi secondi.
Se Symantec VPNFilter Check conferma che il router è infetto da VPNFilter, è necessario intraprendere le seguenti azioni.
Inoltre, è necessario eseguire una scansione completa del sistema su ciascun dispositivo connesso al router infetto da VPNFilter.
Il modo più efficace per rimuovere il malware VPNFilter è utilizzare un software antivirus e un'applicazione per la rimozione del malware. Entrambi gli strumenti sono in grado di rilevare questo virus prima che infetti effettivamente il tuo computer e router.
Il software antivirus potrebbe richiedere diverse ore per completare il processo, a seconda della velocità del tuo computer, ma fornisce anche i metodi migliori per rimuovere file dannosi.
Vale anche la pena installare uno strumento di rimozione malware, che rilevi malware come VPNFilter e lo uccida prima che causi problemi.
Come per i software antivirus, il processo di scansione del malware può richiedere molte ore a seconda delle dimensioni del disco rigido del computer e della sua velocità.
Come altri virus, devi rimuovere anche il malware VPNFilter dal tuo router. Per fare ciò, è necessario ripristinare le impostazioni predefinite del router.
Il router con ripristino hardware richiede il ripristino del router da zero, inclusa la creazione di una nuova password amministratore e la configurazione di una rete wireless per tutti i dispositivi. Ci vorrà del tempo per farlo correttamente.
Dovresti sempre modificare le credenziali predefinite del router, così come di eventuali dispositivi IoT o NAS (eseguire questa attività non è facile sui dispositivi IoT), se possibile. Inoltre, anche se è dimostrato che VPNFilter può aggirare alcuni firewall , installare e configurare correttamente un firewall aiuterà comunque a tenere molti altri elementi dannosi fuori dalla tua rete.
Il modo più efficace per rimuovere il malware VPNFilter è utilizzare un software antivirus
Esistono alcuni modi fondamentali per ridurre il rischio di essere nuovamente infettati da VPNFilter (o qualsiasi altro virus), inclusi suggerimenti specifici correlati direttamente a VPNFilter.
Il router aggiornato è protetto dal malware VPNFilter e da altre minacce alla sicurezza. Ricordatevi sempre di aggiornarlo il prima possibile.
Non utilizzare la password predefinita impostata dal produttore del router. Crea le tue password più forti e con meno probabilità di essere attaccate da soggetti malintenzionati.
Mantieni aggiornati i tuoi programmi antivirus e antimalware. Nuove definizioni di virus vengono rilasciate regolarmente e mantengono il tuo PC informato sulle nuove minacce di virus e malware da cercare.
È importante conoscere chiaramente l'origine dei programmi e delle applicazioni scaricati. I siti meno affidabili hanno molti componenti aggiuntivi di cui non hai bisogno, come VPNFilter.
Quando mentre navighi su un sito appare un banner, non cliccarci sopra. Di solito, il modo più sicuro è visitare un altro sito Web e non un sito Web pieno di annunci pop-up.
Il malware sui router è sempre più popolare. Le vulnerabilità malware e IoT sono ovunque e, con il numero sempre crescente di dispositivi online, la situazione è destinata a peggiorare. Il router è il punto focale per i dati nella tua casa. Tuttavia, non riceve la stessa attenzione in termini di sicurezza degli altri dispositivi. In poche parole, i router non sono così sicuri come pensi.
Vedi altro:
La verità è che la sicurezza dei dati è una questione complessa e difficile. Se ritieni che i tuoi dati siano completamente sicuri, potrebbero esserci delle vulnerabilità di cui non sei a conoscenza. Ecco perché è importante sapere come vengono rubati i dati dai computer o dai dispositivi di rete per adottare contromisure adeguate.
Nell’era attuale di Internet globalizzato, non è esagerato affermare che i dati sono una forma di “nuova valuta” dell’era digitale.
Fondamentalmente, Windows 10 di solito viene fornito con una serie di applicazioni che gli utenti solitamente non possono disinstallare a meno che non utilizzino PowerShell o uno strumento di terze parti.
Questo è un set di sfondi Anime di alta qualità per computer con molti generi diversi
Il registro è un'utile fonte di informazioni, poiché contiene i record di ogni azione eseguita sulla rete. Infatti, se sfruttati correttamente, i log possono fornire informazioni dettagliate su prestazioni, utilizzo e gestione della rete.
Naturalmente, non tutti questi PC sono convenienti. Tuttavia, ciò non impedisce agli utenti con PC di fascia bassa di godere della grafica di alta qualità offerta dai giochi moderni.
Ti piacerebbe avere un cestino sul tuo desktop Windows 10 o 11 che elimini effettivamente i file trascinati al suo interno e li renda irrecuperabili? La buona notizia è che puoi farlo con Free File Wiper e Multi Trash.
I sistemi operativi svolgono un ruolo molto importante nei sistemi informatici e nei dispositivi mobili.
Una delle prime cose che devi imparare man mano che acquisisci familiarità con il prompt dei comandi su Windows 10 è come modificare le cartelle nel file system del sistema operativo. Il seguente articolo ti guiderà a realizzarli.
Se ti stai chiedendo come fissare una finestra in modo che sia sempre in primo piano rispetto alle altre finestre (sempre in primo piano), leggi subito questo articolo!
