Trend Micro waarschuwt consumenten voor een nieuwe aanvalsgolf, bedoeld om hun routers te besmetten voor gebruik in IoT-botnetwerken. De leverancier van cybersecurity-oplossingen heeft hierover een rapport gemaakt waarin het consumenten adviseert actie te ondernemen om te voorkomen dat hun apparaten besmet raken en zo criminele activiteiten mogelijk maken.
Trend Micro nam al in het vierde kwartaal van 2019 een piek waar in aanvallen op (consumenten)routers. Toenemend misbruik van deze apparaten - die tegenwoordig in veel huishoudens staan - is erg populair nu aanvallers gemakkelijk inkomsten kunnen genereren uit deze besmette routers door ze in hun aanvallen in te zetten. Met de groei van thuiswerken als gevolg van de coronacrisis zijn huishoudens ook steeds afhankelijker van een goed werkende router.
Aantal aanvallen flink opgevoerd
Jon Clay, Director of Global Threat Communications bij Trend Micro, stelt dat cybercriminelen weten dat de meerderheid van consumentenrouters gebruikmaakt van standaard login-gegevens. Zij hebben het aantal aanvallen flink opgevoerd. "Voor de thuisgebruiker kan dat betekenen dat ze een deel van hun bandbreedte kwijtraken aan cybercriminelen en dat hun WiFi-verbinding ineens een stuk trager werkt. Ook bedrijven kunnen het doelwit zijn van deze secundaire aanvallen. Voor hen kan het betekenen dat hun volledige website plat komt te liggen.”
Voor de thuisgebruiker leidt een besmette router niet alleen tot prestatieproblemen van het thuisnetwerk. Als vervolgens aanvallen worden gedaan vanaf dat apparaat, kan het IP-adres op de zwarte lijst belanden. Hierdoor kan dit adres worden gemarkeerd als crimineel waardoor het verkeer vanaf die router potentieel geweerd wordt van allerlei websites en internetdiensten en zelfs van zakelijke netwerken.
Toename kwaadaardige inlogpogingen
Trend Micro’s onderzoek onderstreept ook een toename in kwaadaardige inlogpogingen voor routers vanaf oktober 2019, waarbij aanvallers geautomatiseerde software inzetten om veelgebruikte wachtwoordcombinaties te proberen. Het aantal pogingen nam toe van rond de 23 miljoen in september 2019 tot bijna 249 miljoen pogingen in december 2019. In maart 2020 vond Trend Micro al bijna 194 miljoen kwaadaardige inlogpogingen.
Een andere indicator waaruit blijkt dat de schaal van deze bedreiging is toegenomen, is dat apparaten telnetsessies proberen te openen met andere IoT-apparaten. Omdat telnet niet versleuteld is, heeft het de voorkeur van veel aanvallers - en hun botnets - als manier om te zoeken naar gebruikersgegevens. Op zijn hoogtepunt, half maart 2020, probeerden bijna 16.000 apparaten telnetsessies te openen met andere IoT-apparaten binnen één week.
Zorgwekkende trend
Deze trend is volgens Trend Micro om verschillende redenen zorgwekkend. Cybercriminelen concurreren met elkaar om zoveel mogelijk routers te besmetten zodat deze ingelijfd kunnen worden in botnets. Deze worden vervolgens verkocht op ondergrondse sites om Distributed Denial of Service (DDoS)-aanvallen te lanceren of als manier om andere aanvallen zoals click fraude, datadiefstal en account takeovers te anonimiseren. In sommige gevallen verwijderen criminelen zelfs al bestaande malware van rivalen op routers om zo de controle over te nemen.
