Багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж і чекає свого часу.

Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro. Шкідлива програма VPNFilter з’явилася в Інтернеті в 2018 році. До переліку її мішеней входить широкий спектр мережевих пристроїв – десятки моделей роутерів і мережевих накопичувачів від ASUS, D-Link, Huawei , Linksys, MikroTik, Netgear, QNAP, TP-Link, Ubiquiti, UPVEL і ZTE.

Що вміє шкідливе ПЗ?

“Шкідник” володіє широкими можливостями: він вміє збирати інформацію про заражений пристрій і надсилати її на свій сервер, відкривати віддалений доступ, перенаправляти трафік, який проходить через роутер, блокувати задані адреси, виконувати сканування портів, складати карту мережі, проводити атаки “людина посередині” (MitM), перезаписувати файли прошивки зараженого пристрою.

Свій С2-сервер VPNFilter шукає, запитуючи образ на Photobucket. У разі невдачі він звертається до домену toknowall [.] Сom. Якщо і ця спроба виявилася провальною, “шкідник” починає переглядати вхідні TCP-пакети в очікуванні послання з IP-адресою.

Домен toknowall [.] Com давно нейтралізований спільними зусиллями експертів з кібербезпеки, активістів та ФБР – відповідний сервер був підмінений за методом sinkhole, і спроби з’єднання з ним контролюють фахівці.

5,5 тисяч пристроїв досі заражені

Переглянувши останні дані про підключення, в Trend Micro виявили, що VPNFilter досі присутній намайже на 5,5 тисячах мережевих пристроях. Насправді кількість заражень, за словами експертів, може бути значно вищою: багато заблокували доступ до шкідливого домену на рівні DNS.

Дослідники також вирішили перевірити, скільки заражених пристроїв готові до відновлення шкідливої ​​активності. Вони сформували мережевий пакет з IP-адресою sinkhole-сервера і розіслали його інфікованим адресатам. Позитивний відгук був отриманий з 1,8 тис. мереж, а 363 знову запросили домен toknowall [.] Com, намагаючись встановити з’єднання на порту 443.

Вирішити проблему, яка збереглася, за словами експертів, можна заміною зараженого пристрою або оновленням прошивки – відповідні патчі повинні були вже вийти. Перезавантаження в даному випадку не допоможе, хоча раніше вважалося, що це надійний спосіб позбутися від VPNFilter.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як використовувати “Швидкі команди” на Apple Watch? – ІНСТРУКЦІЯ

Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ

Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ

Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ

Як швидко очистити всі сповіщення на Mac? ІНСТРУКЦІЯ

Нагадаємо, американське розвідувальне співтовариство офіційно звинувачує російських хакерів у зламі SolarWinds. Підозрюють, що російські хакери, які фінансуються державою, зламали ІТ-компанію SolarWinds, яку вони потім використали як стартовий майданчик для проникнення в кілька урядових відомств США

Також дослідники з безпеки виявили нову родину програм-вимагачів, яка націлилася на корпоративні мережі, та попередили, що професійні кіберзлочинці вже вдарили по декількох організаціях за допомогою схеми шифрування файлів.

Окрім цього, браузер Edge буде постійно звіряти інформацію з базами даних про розсекречені логіни і паролі – користувачі отримуватимуть інформацію у разі виявлення діяльності з боку кібершахраїв. Також власникам пристроїв надаватимуть поради, що дозволяють змінити конфіденційні дані з метою збереження високого рівня безпеки.

За останніми даними, один із найбезпечніших месенджерів Signal набуває популярності як в Україні, так і в США. Навіть Ілон Маск підтримав хвилю популярності і порадив користуватися Signal у себе в Твіттері. У чому його переваги, читайте у статті.