I cybercriminali stanno compromettendo i router domestici per utilizzarli in botnet IoT. Il dato emerge dall’ultimo report di Trend Micro
Nell’ultimo quarter del 2019 è stato registrato un picco negli attacchi diretti ai router e il trend è destinato a durare, poiché per i cybercriminali è facile monetizzare queste azioni, utilizzando i router compromessi per compiere altri attacchi. Per comprendere la portata del fenomeno, a settembre 2019 gli attacchi per compromettere i log in dei router domestici sono stati 23 milioni, mentre a dicembre 249 milioni. L’ultimo dato di marzo 2020 indica che sono stati 194 milioni.
Un altro indicatore che sottolinea come questa minaccia stia crescendo è rappresentato dai dispositivi che tentano di aprire sessioni telnet con altri dispositivi IoT. Il protocollo di rete telnet è utilizzato per fornire all’utente sessioni di login remote ma non è protetto da crittografia, è quindi preferito dagli aggressori, o dalle loro botnet, come mezzo per sondare le credenziali dell’utente. A metà marzo 2020, 16.000 device hanno tentato di aprire sessioni telnet con altri dispositivi IoT in una sola settimana.
Il trend preoccupa per diversi motivi. I criminali informatici sono in competizione per compromettere il maggior numero possibile di router, in modo da poterli arruolare in botnet. Queste sono poi utilizzate per compiere attacchi Distributed Denial of Service (DDoS) o per coprire frodi e furti di dati. La competizione è così accesa che i cybercriminali disinstallano ogni malware che trovano sul router domestici per avere il completo controllo sul dispositivo. La conseguenza maggiore per l’utente, oltre a un calo di prestazioni, è che se il router continua a essere utilizzato per attacchi, l’indirizzo IP può essere bannato da internet per sospetta attività criminale.
I router domestici sono facilmente accessibili e sono direttamente connessi alla rete, questo è un trend cyber criminale che bisogno interrompere. Trend Micro raccomanda agli utenti di utilizzare una password forte e sicura, verificare che il firmware del router sia aggiornato, e abilitare il login solo dalla rete locale. Inoltre, è opportuno controllare la cronologia dei log per capire se ci sono attività sospette.