Egy fejlett kártevő támadása előzhető meg azzal, ha elfogadjuk az amerikai nyomozó ügynökség javaslatát, és újraindítjuk otthoni, irodai routerünket. A támadás mögött orosz elkövetőket vélnek, ugyanazokat, akik a 2016-i amerikai választásokat megelőzően feltörték a demokrata párt rendszereit.
A szakemberek VPNFilternek nevezik azt a bonyolult, több hullámú támadást indító kártevőt, mely becslések szerint több mint félmillió routert fertőzött meg eddig, összesen 54 országban. Az érintett routerek között vannak a Linksys, MikroTik, Netgear és TP-Link eszközei.
A Talos elemzése szerint a VPNFilter első körben megtelepszik a routeren, és előkészíti a terepet a második fázisra. A rossz hír, hogy a kártevőnek ez a része a router újra indításával sem távolítható el. A második fázisban adatgyűjtés történik, parancsokat tudnak végrehajtani, adatokat kinyerni a gépről, és az eszközöket menedzselhetik is. A második fázis egyes verzióiban a kutatók egy kill-parancsot is felfedeztek, amelynek segítségével az eszközt teljesen használhatatlanná tehetik. A kártevőnek egy harmadik fázisát is felfedezték, de ezt még nem teljesen elemezték, az eddigi eredmények szerint ebben a fázisban például használói adatokat (weboldalakhoz tartozó belépési adatokat) igyekeznek ellopni a támadók.
A kutatók és az FBI tanácsa szerint a támadás ellen több lépésben védekezhetünk. Első körben indítsuk újra az eszközt, ha van firmware frissítés, telepítsük, változtassunk felhasználónevet és jelszavat, majd iktassuk ki a távoli eszközmenedzsmentet lehetővé tévő lehetőségeket, beállításokat. (Már ha valaki ezeket bekapcsolva tartaná.) Az FBI már megtette az első lépést a védekezésben, megszerezte az ellenőrzést a toknowall.com weboldal felett, amely a kártevő parancs-központjaként működött. Így az FBI látja, hogy milyen eszközt próbál megfertőzni a kártevő, regisztrálhatja az érintett eszköz IP-címét.
A szakemberek azonban figyelmeztetnek, hogy érdemes minden védekező lépést megtenni, hiszen a támadás kritikus, az adatlopáson túl a kártevő képes az eszközt teljesen használhatatlanná tenni, így az áldozatok tömegesen internet nélkül maradhatnak. Az elemzők szerint az elkövetők ugyanazok az orosz, feltehetően állami hátszéllel működő hackerek, akik Ukrajnában az energiaellátásban okoztak fennakadást, a csoport A.P.T 28 és Fancy Bear neveken ismert. Vélemények szerint ugyanez a csoport volt Hillary Clinton kampánystábját ért 2016-i támadás mögött is.