Um novo malware descoberto pela Talos Intelligence, divisão da Cisco, já afetou pelo menos 500 mil roteadores e equipamentos de rede em 54 países desde 2016. Chamado de VPNFilter, o vírus pode ser usado por cibercriminosos para roubar dados e também “pode tornar o dispositivo infectado inutilizável”, segundo análise prévia publicada pela empresa nesta última quarta, 23.
Até agora, sabe-se que a ameaça atingiu dispositivos da Linksys, da TP-Link, da MikroTok e da NETGEAR feitos para uso em casas e em pequenos escritórios. A Talos ainda não detectou infecções do vírus em aparelhos de outras fabricantes, como D-link e a própria Cisco, mas o número de equipamentos afetados já é suficiente para deixar bastante gente sem conexão.
De acordo com o relatório, a sofisticação do vírus levanta a possibilidade de sua criação ter sido financiada por algum governo. Seu código é bastante similar ao de versões do malware BlackEnergy, que infectou diversos dispositivos na Ucrânia em ataques hacker de larga escala. Ainda que não tenha especificado em quais países estão os aparelhos atingidos pelo novo vírus, a Talos destacou que foram detectadas diversas infecções no país do leste europeu.
Dá para se proteger?
Segundo a empresa, “os dispositivos que esse malware tem como alvo são bem difíceis de proteger” porque normalmente não há um sistema de proteção contra intrusos (IPS, na sigla em inglês) ou mesmo um antivírus configurado ou disponível. Mas há formas de se proteger de eventuais infecções e ataques.
Uma das recomendações da Talos é reiniciar os roteadores para o padrão de fábrica. O malware, segundo a empresa, é modular e dividido em três “partes”. A primeira, persistente, resiste aos “resets” dos aparelhos e serve de porta de entrada para as duas seguintes. Mas os módulos que vêm em seguida – os que tem maior potencial destrutivo –, não.
Outra medida importante é manter os aparelhos atualizados com as últimas versões de firmware disponíveis. A Talos ainda não descobriu qual brecha foi utilizada pelos cibercriminosos para infectar os dispositivos, mas há a possibilidade ser uma falha antiga, que segue aberta em aparelhos que não são atualizados há tempos. Se você tem um equipamento de rede de uma das marcas citadas, convém checar o site da fabricante para atualizar.