La liste des routeurs infectés par le logiciel malveillant VPNFilter vient de s'allonger

Depuis sa découverte il y a environ deux semaines, nous vous avertissons de cette nouvelle menace de malware effrayante qui cible les routeurs et les périphériques de stockage en réseau (NAS). Il a été signalé qu'il avait déjà infiltré un demi-million de routeurs dans 54 pays, y compris des cibles américaines.

Le malware, appelé VPNFilter, est soupçonné d'être originaire d'un groupe de piratage parrainé par le gouvernement russe connu sous le nom de Sofancy alias Fancy Bear. Si vous vous souvenez, ce groupe est également blâmé pour diverses cyberattaques, y compris de sérieuses tentatives pour perturber les élections américaines de 2016.

En raison du danger qu'il représente pour les consommateurs, le FBI a adressé une demande urgente à toute personne possédant les appareils concernés pour les redémarrer immédiatement. Le FBI a également réussi à prendre le contrôle du serveur de commande et de contrôle présumé du malware.



Cependant, nous vous avons également dit que si vous avez un routeur ou un NAS affecté, le redémarrage ne suffit pas. La seule façon de nettoyer complètement l'infection de votre gadget est de faire une réinitialisation d'usine.

Ce malware est une menace critique car il est capable d'espionnage, de collecte de données, de réinfection, de redirection du trafic et il peut même rendre votre routeur inutilisable.

Maintenant, de nouveaux détails sont apparus sur VPNFilter et il semble qu'il soit plus puissant et plus répandu qu'on ne le pensait à l'origine.

Écoutez ce podcast Komando On Demand pour en savoir plus sur ce que les pirates russes recherchent et comment les arrêter. Vous souhaiterez partager ces informations importantes avec votre famille et vos amis.

VPNFilter est pire que ce que l'on pensait

Selon un nouveau rapport des chercheurs en sécurité de Cisco Talos,VPNFilter vise beaucoup plus de marques et de modèles qu'ils ne l'avaient initialement annoncé.

Cisco Talos a également découvert que VPNFilter a acquis des capacités supplémentaires, notamment un module d'attaque de l'homme du milieu désormais appelé «ssler».

Ce module peut injecter du contenu malveillant dans votre trafic Web et le modifier au fur et à mesure qu'il passe par un routeur infecté. Il peut également voler vos mots de passe et autres données sensibles en interceptant également votre trafic réseau.


marlboro 5 cartons gratuits

Un autre nouveau module, nommé Device Destruction Module (dstr), peut également ajouter l'interrupteur d'auto-destruction aux appareils infectés qui n'en ont pas la capacité.




Donc, en plus d'assembler des botnets massifs pour abattre des sites Web avec des attaques DDoS et de supprimer un nombre énorme de routeurs avec son kill switch intégré, ces nouvelles capacités impliquent que VPNFilter peut être utilisé pour les escroqueries par phishing et le vol d'identité.

Avec ces fonctions de couteau suisse, VPNFilter est une menace critique, non seulement pour le consommateur moyen, mais aussi pour les secteurs gouvernementaux et industriels clés.

Comment VPNFilter fonctionne

Pour comprendre comment VPNFilter peut apparemment gagner en fonctionnalités supplémentaires et devenir plus puissant au fil du temps, l'infection fonctionne apparemment en plusieurs étapes:

Étape 1- Cette installation initiale est utilisée pour prendre pied de manière persistante sur votre appareil, lui permettant de survivre même après un redémarrage.

Cette étape est également utilisée pour maintenir le contact avec son centre de commandement et de contrôle pour obtenir des instructions supplémentaires.

Étape 2- La charge utile principale. À ce stade, il peut exécuter des commandes, collecter des fichiers, intercepter des données et configurer votre appareil.

C'est également le stade où ses fonctions autodestructrices sont installées. En prenant le contrôle d'une section du firmware de votre appareil, les attaquants peuvent ensuite supprimer le malware à distance et rendre votre routeur inutilisable.

Étape 3- Des plugins ou modules supplémentaires sont installés, offrant à VPNFilter des capacités supplémentaires telles que l'espionnage du trafic, le vol d'informations d'identification sur le site Web et les communications sécurisées via le réseau Tor.

L'étape 3 est où VPNFilter obtient des capacités supplémentaires via de nouveaux modules.

Liste mise à jour - Votre routeur est-il affecté?

Cisco Talos a également ajouté plus de marques et de modèles à la liste ciblée.

Comme vous pouvez le voir, il est nettement plus grand que l'ancienne liste. Vérifiez de nouveau votre routeur maintenant et voyez si vous êtes concerné. On estime que 200 000 routeurs supplémentaires risquent désormais d'être infectés par VPNFilter.

Voici la liste mise à jour des appareils ciblés.

Périphériques Asus:

  • RT-AC66U (nouveau)
  • RT-N10 (nouveau)
  • RT-N10E (nouveau)
  • RT-N10U (nouveau)
  • RT-N56U (nouveau)
  • RT-N66U (nouveau)

Appareils D-Link:




  • DES-1210-08P (new)
  • DIR-300 (nouveau)
  • DIR-300A (nouveau)
  • DSR-250N (nouveau)
  • DSR-500N (nouveau)
  • DSR-1000 (nouveau)
  • DSR-1000N (nouveau)

Appareils Huawei:

  • HG8245 (nouveau)

Périphériques Linksys:




  • E1200
  • E2500
  • E3000 (nouveau)
  • E3200 (nouveau)
  • E4200 (nouveau)
  • RV082 (nouveau)
  • WRVS4400N

Appareils Mikrotik:

  • CCR1009 (nouveau)
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 (nouveau)
  • CRS112 (nouveau)
  • CRS125 (nouveau)
  • RB411 (nouveau)
  • RB450 (nouveau)
  • RB750 (nouveau)
  • RB911 (nouveau)
  • RB921 (nouveau)
  • RB941 (nouveau)
  • RB951 (nouveau)
  • RB952 (nouveau)
  • RB960 (nouveau)
  • RB962 (nouveau)
  • RB1100 (nouveau)
  • RB1200 (nouveau)
  • RB2011 (nouveau)
  • RB3011 (nouveau)
  • RB Groove (nouveau)
  • RB Omnitik (nouveau)
  • STX5 (nouveau)

Dispositifs Netgear:




  • DG834 (nouveau)
  • DGN1000 (nouveau)
  • DGN2200
  • DGN3500 (nouveau)
  • FVS318N (nouveau)
  • MBRN3000 (nouveau)
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 (nouveau)
  • WNR4000 (nouveau)
  • WNDR3700 (nouveau)
  • WNDR4000 (nouveau)
  • WNDR4300 (nouveau)
  • WNDR4300-TN (nouveau)
  • UTM50 (nouveau)

Périphériques QNAP:

  • TS251
  • TS439 Pro
  • Autres périphériques NAS QNAP exécutant le logiciel QTS

Périphériques TP-Link:





gmail affiche plus de 100 e-mails par page

  • R600VPN
  • TL-WR741ND (nouveau)
  • TL-WR841N (nouveau)

Appareils Ubiquiti:




  • NSM2 (nouveau)
  • PBE M5 (nouveau)

Appareils Upvel:




  • Modèles inconnus * (nouveau)

Périphériques ZTE:

  • ZXHN H108N (nouveau)

Comment supprimer VPNFilter (et vous protéger aussi)

Il est difficile de détecter la présence de VPNFilter sur vos gadgets, car les routeurs et les périphériques de stockage connectés au réseau ne disposent pas d'un logiciel antivirus.




On pense qu'il infecte les gadgets par des failles non corrigées en raison d'un micrologiciel obsolète ou via des mots de passe administrateur faibles.

Cependant, comme VPNFilter est ce que l'on appelle un logiciel malveillant de micrologiciel, voici quelques étapes d'atténuation que vous pouvez utiliser.

1. Redémarrez (ne supprimera pas les infections de stade 1!)

Pour votre première ligne de défense, redémarrez votre appareil immédiatement. Cela éliminera immédiatement les infections de stade 2 et de stade 3, supprimant les capacités les plus nuisibles de VPNFilter.

Cependant, comme les composants de l'étape 1 de VPNFilter peuvent persister même après le redémarrage, votre appareil sera toujours vulnérable aux réinfections des étapes 2 et 3. Pour supprimer complètement VPNFilter, vous devrez effectuer les étapes supplémentaires décrites ci-dessous.

2. Effectuez une réinitialisation d'usine (hautement recommandé)

Pour vous assurer que le logiciel malveillant a complètement disparu, vous devez réinitialiser le routeur aux paramètres d'usine par défaut dès que possible. En règle générale, cela implique de maintenir enfoncé le bouton de réinitialisation du routeur à l'arrière pendant cinq à 10 secondes.


téléphones Samsung prennent feu

Cela effacera toutes les étapes connues de VPNFilter. Gardez à l'esprit que la réinitialisation de votre routeur supprimera également tous vos paramètres de configuration, vous devrez donc les saisir à nouveau (ou restaurer à partir d'une sauvegarde).




3. Mettez à jour le firmware de votre routeur

Ensuite, assurez-vous que vous disposez du dernier firmware de votre routeur. Quoi qu'il en soit, vous devez vérifier les mises à jour du firmware du routeur au moins une fois tous les trois mois.

Le processus n'est pas aussi difficile qu'il y paraît. Une fois que vous êtes sur la page d'administration du routeur, recherchez une section intitulée «Avancé» ou «Gestion» pour rechercher les mises à jour du micrologiciel, puis téléchargez et appliquez au besoin. Cette pratique peut également protéger votre routeur contre de futures infections.

Cliquez ici pour en savoir plus sur la mise à jour du micrologiciel de votre routeur.

4. Modifiez le mot de passe par défaut du routeur

Lorsque vous avez installé votre routeur, vous êtes-vous souvenu de faire cette étape critique - changer son mot de passe administrateur par défaut? Fondamentalement, si quelqu'un d'autre que vous peut accéder à la page d'administration de votre routeur, il / elle peut modifier tout paramètre qu'il souhaite.

Assurez-vous que vous avez modifié le mot de passe du routeur par défaut. Chaque hacker digne de ce nom a accès à tous les mots de passe par défaut de chaque marque de routeur, vous devez donc en créer un qui soit fort.

Cliquez ici pour savoir comment trouver le mot de passe de votre routeur (puis changez-le!)

5. Désactivez l'administration à distance

Pendant que vous êtes sur la page d'administrateur de votre routeur, vous pouvez désactiver l'administration à distance pour une meilleure sécurité. L'administration à distance est une fonctionnalité qui vous permet de vous connecter à votre routeur via Internet et de le gérer. Si vous avez déjà appelé le support technique, vous avez peut-être vécu quelque chose de similaire.

L'administration à distance est un outil pratique, en particulier lorsque vous devez résoudre un problème, mais elle rend votre ordinateur vulnérable aux pirates. Sauf si vous en avez absolument besoin, désactivez cette fonction. Vous pouvez le trouver sous les paramètres de votre routeur, généralement sous la rubrique «Administration à distance».