Cyclops Blink: Es una botnet sofisticada patrocinada por el estado que puede haber afectado a un número limitado (estimado en ~1 %) de los dispositivos de firewall de WatchGuard.
Paso 1: Diagnóstico:
Primero debe diagnosticar si su dispositivo ha sido comprometido, el diagnóstico lo puede realizar de tres formas:
A. Cyclops Blink Web Detector: En la siguiente página https://detection.watchguard.com/Detector debe subir el archivo de soporte support.tgz.
B. Watchguard System Manager: Debe descargar la última versión de Watchguard System Manager versión 12.7.2 Update 2 y en la pestaña de herramientas encontrará la Cyclops Blink Detector desde donde puede realizar el diagnóstico de sus dispositivos firewall Watchguard . Debe utilizar una cuenta de administrador.
C. WatchGuard Cloud: Si cuenta con un Watchguard administrado desde la nube, puede realizar el diagnóstico desde el widget Cyclops Blink Detector.
Paso 2: Remediación:
En caso de que sus dispositivo se encuentre comprometido en este enlace encuentra los pasos necesarios para restaurar su dispositivo a un estado limpio y actualizarlo a la última versión del sistema operativo Fireware:
https://techsearch.watchguard.com/KB?type=Article&SFDCID=kA16S000000SNyiSAG&lang=en_US
Si no planea remediarlo de inmediato, le recomendamos que desconecte el dispositivo hasta que elimine el botnet.
Paso 3: Prevenir:
Esté infectado o no, es importante actualizar el dispositivo a la última versión del sistema operativo Fireware (disponible en software.watchguard.com).
Si necesita administrar su dispositivo WatchGuard de forma remota, consulte este artículo para ayudarlo a hacerlo de manera segura: https://techsearch.watchguard.com/KB?type=Article&SFDCID=kA10H000000XeAtSAK&lang=en_US
Paso 4: Investigar:
(nota: este paso solo es aplicable si se detecta una infección)
Si tiene un dispositivo que se determina que está infectado con la botnet, los pasos de remediación restaurarán el dispositivo a un estado seguro. Si bien no hay evidencia de exfiltración en este momento, si su dispositivo se infectó, es una buena práctica de la industria realizar una investigación forense de su red.
Para ampliar en más detalle por favor verifique el siguiente enlace:
https://detection.watchguard.com/?mkt_tok=NDgzLUtDVy03MTIAAAGCxiu5Pco92zewCCjjw7aUaUkZId8NfJjmH8ZShgzLiMTj1Gf6QPkhr1vu_u84eUvNIhOJBlu7BUwEaMF6pawTUrXlnM2k9HbdyP2kWcHLhCFPwh8