Hoewel het onderzoek naar de malware nog niet is afgerond, waarschuwen onderzoekers van Cisco-dochterbedrijf Talos alvast voor een hardnekkige stukje malware dat netwerkapparaten, zoals nas-schijven en routers, aanvalt. Bovendien is de malware lastig te detecteren.
Geschat wordt dat al zeker een half miljoen apparaten in meer dan 54 landen zijn besmet met VPNFilter. Overigens wordt de malware vooral aangetroffen op apparaten in Oekraïne.
De VPNFilter malware heeft bijzondere capaciteiten die het mogelijk maken voor criminelen om gegevens van het slachtoffer te stelen of verwoestende cyberaanvallen uit te voeren met hulp van het geïnfecteerde apparaat.
Het is geavanceerde malware, zo stellen de onderzoekers vast. Zo gaat alle communicatie tussen het geïnfecteerde apparaat en de command en control server via TOR of via een SSL-verbinding.
Voor zover bekend is VPNFilter alleen schadelijk is voor netwerkapparaten van Linksys, MikroTik, Netgear en TP-Link. Ook nas-hardware van QNAP, dat veel door consumenten en kleine bedrijven wordt gebruikt, is kwetsbaar voor VPNFilter. De malware valt hardware aan dat draait op Linux of BusyBox.
Adviezen
De onderzoekers van Talos adviseren alle thuisgebruikers en kleine bedrijven met hardware van de genoemde fabrikanten om tenminste hun apparaat te herstarten. De malware verdwijnt in sommige gevallen pas als het toestel naar de fabrieksinstellingen wordt teruggezet.
Ook zouden ISP’s er goed aan doen om de routers die zij op afstand beheren, voor hun klanten opnieuw te starten. Tot slot is het belangrijk om te controleren of er nog updates of patches van de firmware beschikbaar zijn.