Компанія Cisco та її дослідницька група Talos попереджають про нову маштабну кібератаку. За попередньою оцінкою кількість вже заражених пристроїв більше 500 тис у щонайменше 54 країнах світу. Також відомі пристрої, які піддаються впливу VPNFilter, — це мережеве обладнання Linksys, MikroTik, NETGEAR та TP-Link у системі малого та домашнього офісу (SOHO), а також на мережних пристроях QNAP (NAS).
Важливість нової загрози у тому, що компоненти шкідливого програмного забезпечення VPNFilter дозволяють красти облікові дані веб-вузла та стежити за протоколами Modbus SCADA. Зловмисне програмне забезпечення має деструктивну здатність, яка може зробити інфікований пристрій непридатним для використання. Руйнування пристроїв таким чином може відбуватися як окремо, так і одночасно для сотень тисяч пристроїв у всьому світі. По суті це — атака на інфраструктуру на рівні користувачів, наголошують у Cisco.
Експерти Talos відзначають схожість VPNFilter з шкідливими програмами хакерської групи Blackenergy, якій приписується авторство вірусів Petya/NotPetya. Вірус NotPetya, що в червні 2017 р атакував мережі українських міністерств, банків, мобільних операторів, великих підприємств. Нападу також зазнали системи США, Індії та Данії. Крім того, на атаку поскаржилися і російські компанії, серед яких “Роснефть” і “Башнефть”. Всього вірус Petya (NotPetya і ExPetr) проник в 12 500 комп’ютерів в 65 країнах.
Щоб запобігти втраті інформації, попередити втручання в роботу мережевих пристроїв та не допустити настання негативних наслідків ураження вищенаведених мережевих пристроїв шкідливим програмним забезпеченням фахівці з кібербезпеки наполегливо рекомендують невідкладно вжити такі заходи:
- користувачам та власникам домашніх роутерів, бездротових маршрутизаторів малих офісів та мережевих файлових сховищ необхідно невідкладно здійснити їх перезавантаження з метою видалення потенційно небезпечних шкідливих програмних модулів з оперативної пам’яті пристроїв;
- у випадку, коли мережеві маршрутизатори клієнтів контролюються провайдерами Інтернет-послуг, здійснити їх віддалене перезавантаження;
- якщо є підстави вважати будь-який пристрій в локальній мережі ураженим зазначеним видом шкідливого програмного забезпечення, то невідкладно оновити його програмну прошивку до останньої актуальної версії;
- у випадку, коли в операційній системі мережевого пристрою є функція доступу до його файлової системи, то перевірити наявність файлів у директоріях «/var/run/vpnfilterw», «var/run/tor», «var/run/torrc», «var/run/tord» та видалити їх вміст.
Список вразливих мережевих пристроїв:
- Linksys Devices: E1200, E2500, WRVS4400N;
- Mikrotik RouterOS Versions for Cloud Core Routers: 1016, 1036, 1072;
- Netgear Devices: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000;
- QNAP Devices: TS251, TS439 Pro, Other QNAP NAS devices running QTS software;
- TP-Link Devices R600VPN.
Зверніть також увагу, що синхронізація критично важливих даних (архівні копії) з захищеним хмарним сховищем, збереже не тільки ваші дані, але й кошти та нерви.
За матеріалами сайтів: