Router domestici sotto attacco. A lanciare l’allarme è “Worm war: the Botnet Battle for IoT territory”, l’ultimo report di Trend Micro, società specializzata nella sicurezza informatica, secondo qui i cybercriminali starebbero ormai diffusamente compromettendo i router delle case private per utilizzarli in botnet IoT.
Secondo quanto emerso dall’indagine, il picco negli attacchi diretti ai router registrato negli ultimi tre mesi del 2019 (dai 23 milioni di settembre ai 249 milioni di dicembre) è destinato a protrarsi: a marzo 2020, ultimo dato, il numero di danneggiamenti dei log in si attesta a ben 194 milioni. Per gli hacker monetizzare queste attività è infatti semplice, poiché possono sfruttare i router infettati per compiere a loro volta altri attacchi.
Anche il numero di dispositivi che tentano di aprire sessioni telnet con altri dispositivi IoT dà il senso dell’entità della minaccia. A metà marzo 2020, in una sola settimana, sono stati ben 16mila i device in questione: il protocollo di rete telnet è infatti utilizzato per fornire all’utente sessioni di login remote ma non è protetto da crittografia, e quindi per gli aggressori rappresenta un efficace mezzo per sondare le credenziali dell’utente.
La tendenza che va affermandosi fra i cybercriminali è quella di mettere fuori uso il maggior numero possibile di router, in modo da poterli arruolare in botnet: tale attività viene svolta in un clima di accesa competizione, tanto che gli hacker disinstallano ogni malware che trovano sul router per avere il completo controllo sul dispositivo. Le botnet sono poi utilizzate per compiere attacchi Distributed Denial of Service (DDoS) o per coprire frodi e furti di dati. Con quali conseguenze per l’utente? Calo di prestazioni e, se l’attacco si protrae a lungo, la possibilità che l’indirizzo IP venga bannato da internet per sospetta attività criminale.
Sono tre le basi di codice sorgente bot identificate dallo studio di Trend Micro: sulla base di queste, si apre la strada a molte varianti di malware botnet.
Il primo è Kaiten, conosciuto anche come Tsunami, il più vecchio dei tre. La sua comunicazione con i server di comando e controllo (C&C) si basa sul protocollo Irc (Internet Relay Chat), in base al quale i dispositivi infetti ricevono comandi da un canale Irc.
Quindi c’è Qbot, malware caratterizzato da un codice sorgente composto da pochi file e la cui comunicazione con i server si basa su Tcp (Transmission Control Protocol) anziché su Irc.
Infine, Mirai, il più recente dei tre, diventato una popolare famiglia di malware botnet nonché punto di svolta per gli attacchi IoT. Quando è entrato per la prima volta nell’arena del malware botnet, si è rapidamente fatto un nome grazie all’attacco a Dyn, un provider di hosting Dns (Domain Name System), che ha provocato l’interruzione di siti web e servizi ampiamente utilizzati.
“La maggior parte delle persone in questo momento si affida alle proprie reti domestiche sia per le attività lavorative che di studio e i router sono diventati importanti come non mai – spiega Gastone Nencini, country manager Trend Micro Italia – I cybercriminali sanno che la maggior parte dei router domestici non è sicura e lanciano attacchi su larga scala. Per l’utente questo si traduce in un rallentamento della rete mentre nel caso di aziende possiamo assistere anche ad attacchi secondari che bloccano completamente il sito web, per esempio”.
Come difendersi dunque da tutto questo? Trend Micro consiglia di utilizzare una password forte e sicura; aggiornare sempre il firmware del router all’ultima versione; controllare la cronologia dei log per capire se ci sono attività sospette e abilitare solo login dalla rete locale.
