Cyclops Blink Malware

Cyclops Blink Malware Descripción

Múltiples agencias de ciberseguridad de los EE. UU. y el Reino Unido publicaron un nuevo aviso de seguridad conjunto que detalla sus hallazgos de una amenaza de malware rastreada como Cyclops Blink. Según el informe, se cree que el malware está asociado con un grupo de ciberespionaje respaldado por Rusia conocido como Sandworm. El mismo grupo de piratas informáticos también ha sido rastreado como Voodoo Bear, BlackEnergy y TeleBots, y se estima que estuvo activo durante cerca de 20 años.

Cyclops Blink parece ser el sucesor del anterior malware Sandworm conocido como VPNFilter, que se expuso al público en 2018. La nueva herramienta amenazante está diseñada para crear una botnet de WatchGuard Firebox comprometido y dispositivos de red similares. La amenaza se está difundiendo de forma indiscriminada y generalizada.

Funciones amenazantes

Una vez establecido en los dispositivos objetivo, Cyclops Blink proporciona acceso de puerta trasera a las redes comprometidas para los piratas informáticos Sandworm. Las características invasivas de la amenaza se propagan a través de módulos diseñados específicamente. Algunas de las funciones dañinas más notables del malware incluyen la capacidad de obtener archivos adicionales, filtrar archivos seleccionados, recopilar y transmitir información del dispositivo y obtener actualizaciones de las operaciones del servidor Command-and-Control (C2).

Las técnicas utilizadas por Cyclops Blink para integrarse en los dispositivos infectados le permiten explotar los canales de actualización de firmware legítimos. Como resultado, la amenaza puede persistir en el sistema durante los reinicios e incluso durante el proceso de actualización del firmware oficial.

WatchGuard publicó su propio aviso donde afirma que aproximadamente el 1% de sus dispositivos de firewall activos pueden verse afectados por la amenaza. Se debe suponer que todas las cuentas en los sistemas violados están comprometidas, y las organizaciones afectadas deben implementar los pasos necesarios para desconectar la interfaz de administración de los dispositivos de red de Internet.