Theo nghiên cứu từ nhóm Cisco Talos thuộc hãng Cisco, mạng botnet sử dụng mã độc VPNFilter không tấn công vào lỗ hổng zero-day trên thiết bị, mà khai thác dựa trên những lỗ hổng phổ biến, đã được công bố hoặc sử dụng thông tin xác thực mặc định để chiếm quyền điều khiển. Thiết bị định tuyến và thiết bị lưu trữ có kết nối Internet của các hãng Linksys, MikroTik, Netgear và TP-Link là đối tượng có tiềm ẩn nguy cơ bị tấn công cao.

Cục An toàn thông tin cũng cho hay, VPNFilter là loại mã độc tinh vi, thực hiện tấn công theo nhiều giai đoạn, có thể đánh cắp thông tin đăng nhập website và theo dõi các hệ thống điều khiển công nghiệp SCADA, như hệ thống lưới điện và cơ sở hạ tầng công nghiệp. Không giống như các loại mã độc khác, khi đã lây nhiễm thành công VPNFilter sẽ tiến hành khởi động lại thiết bị, từ đó tạo được kết nối lâu dài và cài đặt mã độc phục vụ cho giai đoạn hai. Đặc trưng của mạng botnet sử dụng mã độc VPNFilter là thư mục có đường dẫn /var/run/vpnfilterw được tạo ra trong quá trình cài đặt.

Cục An toàn thông tin khuyến nghị, nếu phát hiện dấu hiệu lây nhiễm, người dùng nên thực hiện cài đặt thiết bị về cấu hình mặc định để gỡ bỏ hoàn toàn mã độc và cập nhật firmware bản mới nhất.