Trend Micro Incorporated, een wereldwijde leider in cyberbeveiligingsoplossingen, heeft een studie gepubliceerd met de titel “Worm War: The Botnet Battle for IoT Territory” waarin consumenten worden gewaarschuwd voor een grote nieuwe golf van aanvallen die worden gelanceerd om thuisrouters te kapen om ze te gebruiken in IoT-botnets. De auteurs van het rapport dringen er bij de gebruikers op aan maatregelen te nemen om ervoor te zorgen dat hun apparaten niet betrokken zijn bij criminele activiteiten.
Er is een recente toename van het aantal aanvallen gericht op routers. Dit was vooral duidelijk in het vierde kwartaal van 2023. Uit nieuw onderzoek blijkt dat misbruik in verband met deze apparaten zal blijven toenemen, aangezien aanvallers dergelijke infecties in toekomstige aanvallen gemakkelijk kunnen terughalen met behulp van buitgemaakte routers.
Nu zoveel mensen thuisnetwerken gebruiken voor werk en studie, wordt het steeds belangrijker om te controleren wat er op de router gebeurt”, aldus John Clay, global head of cyberthreat communications bij Trend Micro. – Cybercriminelen hebben hun aanvallen opgevoerd in de wetenschap dat de overgrote meerderheid van de thuisrouters standaard gebruikersnaam en wachtwoord gebruikt. Het overnemen van de controle over hun router kan door thuisgebruikers worden ervaren als een vermindering van de netwerkbandbreedte. Maar organisaties die het doelwit zijn van geïnfecteerde routeraanvallen kunnen zien dat botnets hun sites offline halen – we hebben dit zien gebeuren bij eerdere opvallende aanvallen.
Trend Micro studie onthult dat in oktober 2023 pogingen om wachtwoorden te brute-forcen om routers te compromitteren begonnen toe te nemen. In dit geval gebruiken aanvallers software die automatisch veel voorkomende wachtwoordcombinaties raadt. Het aantal dergelijke pogingen is meer dan vertienvoudigd, van 23 miljoen in september tot bijna 249 miljoen in december 2023. Trend Micro registreerde bijna 194 miljoen brute force logins in maart 2023.
Een andere indicator van de toename van deze dreiging zijn apparaten die proberen telnetsessies te starten met andere IoT-apparaten. Aangezien het telnetprotocol gegevens niet versleutelt, gebruiken cybercriminelen of hun botnets het bij voorkeur om referenties te verzamelen. Het piekte medio maart 2023, met ongeveer 16.000 apparaten die in één week telnetsessies probeerden te openen met andere IoT-apparaten.
Deze tendens is om verschillende redenen zorgwekkend. Cybercriminelen wedijveren met elkaar om zoveel mogelijk routers te compromitteren en op te nemen in botnets. Deze botnets worden vervolgens verkocht aan ondergrondse sites, hetzij als instrument om DDOS-aanvallen uit te voeren, hetzij als middel om andere illegale activiteiten zoals klikfraude, gegevensdiefstal en accountkaping te anonimiseren.
De concurrentie is zo hevig dat criminelen alle malware op een aangevallen router, geïnstalleerd door een concurrent, zullen verwijderen om de exclusieve controle over het apparaat te verkrijgen. Een thuisgebruiker wiens router is gecompromitteerd zal als eerste prestatieproblemen ondervinden. Als het apparaat vervolgens betrokken is bij een aanval, kan het IP-adres ervan op een zwarte lijst komen te staan, waardoor de gebruiker geen toegang meer heeft tot belangrijke delen van het internet en bedrijfsnetwerken.
Zoals in het rapport wordt uitgelegd, is er een bloeiende zwarte markt voor botnets en botnet-malware te huur. Hoewel elk IoT-apparaat kan worden gehackt en gebruikt als onderdeel van een botnet, zijn routers van bijzonder belang voor aanvallers omdat ze gemakkelijk toegankelijk zijn en rechtstreeks verbonden met het internet.
Trend Micro heeft adviezen voor thuisgebruikers gepubliceerd:
– zorg ervoor dat u een sterk wachtwoord gebruikt; verander het van tijd tot tijd;
– zorg ervoor dat je de laatste firmware versie op je router hebt geïnstalleerd;
– controleer de logboeken van uw apparaat op activiteiten die niet logisch zijn voor uw netwerk;
– Alleen toegang tot de router toestaan vanuit het lokale netwerk.
Het volledige rapport is beschikbaar op de website van Trend Micro Incorporated
Wat zijn enkele specifieke stappen die ik als lezer kan nemen om mijn thuisrouter te beschermen tegen aanvallen?