Gli attacchi Malware possono prendere il controllo del Vostro Router

router malware

In quest’ultimo periodo è emersa una nuova ondata di attacchi alla sicurezza informatica e sta coinvolgendo gli apparati Router. Scoperto dagli analisti di Cisco Talos, gli attacchi Malware possono prendere il controllo del Vostro Router generando non pochi problemi. Il Router è a tutti gli effetti un mini PC e come tale è soggetto a manutenzione e deve essere tenuto aggiornato.

Questo Virus, chiamato VPN Filter ha la capacità di registrare i dati di navigazione su internet eseguiti tramite il vostro PC, Smartphone e altre periferiche collegate sulla vostra rete, modificare i DNS e mettere a rischio i dati sensibili, comprese le password.

Non è sufficiente un riavvio del Router per scongiurare l’attacco ma è necessario verificare che non siano cambiate le configurazioni dell’apparato. Sono molti infatti i Brand di produttori che hanno subito questo attacco e che stanno segnalando la tassativa necessità di andare ad aggiornare il firmware del proprio hardware per evitare questo tipo di attacchi.

Questo tipo di virus è anche in grado di disattivare completamente la funzionalità del Router creando disservizi e criticità bloccanti ai propri sistemi informatici e di telecomunicazioni su IP. In alcuni casi non è più possibile riutilizzare l’hardware.

Una delle situazioni più comuni è il cambio dei DNS. Il cambio dei DNS permette infatti di controllare e reindirizzare il traffico dati a piacimento verso portali web altrettanto infetti o fraudolenti. A rischio password e credenziali di accesso alla posta elettronica, alle piattaforme di Home Banking, Social , ecc. Per applicazioni professionali, di solito, i DNS sono inseriti manualmente utilizzando DNS comuni (es. DNS di Google 8.8.8.8- 8.8.4.4 ) o specifici forniti dal proprio ISP. Questi vengono sostituiti con altri DNS che reindirizzano il traffico su altri siti fraudolenti.

Un altro tipo di attacco è quello CSRF (cross-site request forgery). Questo tipo di attacco viene operato tramite plugin in JavaScript caricati su portali infetti e permette di accedere all’interfaccia web di amministrazione del Router per cambiare le impostazioni e gli accessi, sfruttandoli in un secondo momento. Questi virus non vengono necessariamente installati aprendo allegati infetti ma possono essere eseguiti come “download drive-by” da siti infetti.

 

Consigli utili:

  • Verificare i DNS configurati nel router, che non siano variati rispetto a quelli configurati in fase di prima installazione. Uno dei DNS segnalati che viene sostituito è il seguente 38.134.121.95 classificato come Hacking, SQL Injection.
  • Aggiornare il FW del Router all’ultima release rilasciata dal produttore che colmerà le lacune di sicurezza riscontrate.
  • Disabilitare l’accesso remoto se non strettamente necessario, attaccabile tramite bot.
  • Password di accesso complessa: Cambiare la password di accesso al Router con una psw complessa che contenga caratteri speciali, numeri e lettere maiuscole e minuscole.

Note:

Attacchi al Router possono compromettere oltre che la sicurezza anche la corretta funzionalità dei sistemi informatici e di telecomunicazioni connessi nella rete LAN. Per esempio si potrebbero verificare dei malfunzionamenti del proprio IPPBX per effettuare aggiornamenti automatici, accedere alla console di gestione, allineare i certificati e chiavi di licenza, perdita di registrazione dei telefoni software, perdita della registrazione dei trunk SIP, furto delle credenziali e altro.

Mantenere monitorati e aggiornati i vari apparti hardware (Router, Server, Appliance, AP, Telefoni IP) e software (S.O. Antivirus, Centralino Telefonico 3CX) alle ultime release di FW e di versione permette di avere una minor vulnerabilità agli attacchi esterni e il generarsi di criticità a volte irrimediabili.

E’ evidente come fra gli apparati più esposti vi siano i router commerciali non destinati ad impiego in ambito professionale. Per questa ragione, anche in ottemperanza a quanto richiesto dalla recente normativa GDPR sulla privacy e sicurezza dei dati aziendali, si raccomanda agli utenti professionali l’impiego di apparecchiature in grado di assicurare una idonea protezione, per le quali siano previsti aggiornamenti e supporto software/firmware di lungo periodo.

Kasperksy VS Cryptolocker

Kaspersky ha sviluppato uno strumento gratuito che rappresenta una piccola speranza di salvezza per chi si trova vittima di ransomware. Un’arma in più contro quelli attacchi che bloccano tutti i dati e chiedono un riscatto per liberarli.

Kaspersky e la polizia olandese si sono alleate per creare uno strumento che ci libera dal ransomware, forse il peggiore tipo di malware esistente – a parte le cyberarmi ovviamente. Si tratta infatti di attacchi che bloccano i dati con crittografia, dopodiché i criminali chiedono un riscatto, generalmente in Bitcoin o simili. Pagando si riceve la password per sbloccare i propri dati, e non farlo significa rischiare la loro totale perdita.

Lo strumento sviluppato da Kaspersky è gratuito e agisce in particolare contro CoinVault, uno dei ransomware più diffusi. Il lavoro è stato reso possibile dalla National High Tech Crime Unit (NHTCU) olandese, che ha trovato diverse chiavi di decodifica di CoinVault e le ha passate alla società russa.

Non si tratta purtroppo di una soluzione definitiva, ma solo di una possibilità di rimuovere CoinVault. Il lavoro di ricerca è ancora in corso e lo strumento sarà aggiornato in futuro, quindi se oggi non è possibile sbloccare un file può darsi che lo sarà domani.

Non si può che accogliere con piacere un’iniziativa simile, soprattutto considerando quanto stia diventando grave il problema del ransomware. Solo in Olanda ComVault ha colpito oltre 700 computer Windows, ma ci sono vittime in tutto il mondo e molte diverse varianti di questo attacco. Ci sono stati diversi attacchi anche in Italia negli ultimi due anni.

Purtroppo quando si parla di sicurezza informatica le soluzioni non sono mai semplici. Non ci si può limitare a incolpare le vittime, perché troppo ingenue o troppo poco preparate. I computer dopotutto non sono che strumenti per fare cose di ogni genere, e la vera sfida, quella più dura, è proprio trovare il modo d’insegnare a tutti le basi della sicurezza. Come esperti o aspiranti tali, forse è anche compito nostro aiutare tutti a diventare più bravi nello schivare i pericoli.