De FBI heeft een domeinnaam geconfisqueerd. Het gaat om de domeinnaam die de VPNFilter-malware aanwendt om geïnfecteerde routers en NASsen mee aan te sturen. Het Amerikaanse openbaar ministerie heeft dit bekendgemaakt.
Cisco heeft laten weten op de hoogte te zijn van de malware. Volgens het bedrijf zouden er op dit moment, wereldwijd, 500.000 apparaten mee zijn besmet.
Shadowserver Foundation
De malware kan inloggegevens ontvreemden en firmware van geïnfecteerde apparatuur overschrijven. Deze apparaten zijn daarna niet langer bruikbaar. De Amerikaanse federale instelling voor wetshandhaving FBI zou al sinds vorige zomer onderzoek doen naar de malware met de naam VPNFilter. Nu de FBI controle heeft over het domein van de malware, is de instelling in staat om in kaart te brengen welke IP-adressen zijn geïnfecteerd. De Shadowserver Foundation, een organisatie die zich met de bestrijding van botnets bezighoudt, gebruikt dit overzicht van de FBI om de geïnfecteerde apparatuur op te schonen.
Fabrieksinstellingen terugzetten
Op dit moment is nog weinig bekend over de werking van VPNFilter. Volgens Symantec maakt de malware gebruik van bekende kwetsbaarheden of van ongewijzigde standaard-inloggegevens in apparatuur. Gisteren maakte Cisco bekend dat een deel van de malware via een reboot is te verwijderen. Door de fabrieksinstellingen terug te zetten, verdwijnt de malware helemaal van de apparatuur.
Lijst van kwetsbare systemen
Onderstaande systemen zijn vatbaar voor de VPNFilter-malware:
• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS voor Cloud Core Routers: Versies 1016, 1036 en 1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Andere QNAP NAS-apparaten die QTS-software draaien
• TP-Link R600VPN