Trend Micro ontdekt botnet-battle voor consumentenrouters

Rapport waarschuwt consumenten voor nieuwe cybercrime-oorlog

Amsterdam, 15 juli 2020 -  Trend Micro, wereldwijd leider in cybersecurity-oplossingen, waarschuwt consumenten voor een nieuwe aanvalsgolf die hun routers probeert te besmetten voor gebruik in IoT-botnetwerken. Trend Micro heeft hierover een rapport gemaakt waarin het consumenten adviseert actie te ondernemen om te voorkomen dat hun apparaten besmet raken en zo criminele activiteiten mogelijk maken. 

Trend Micro nam al in het vierde kwartaal van 2019 een piek waar in aanvallen op (consumenten)routers. Dit onderzoek wijst uit dat toenemend misbruik van deze apparaten - die tegenwoordig in veel huishoudens staan - erg populair is nu aanvallers gemakkelijk inkomsten kunnen genereren uit deze besmette routers door ze in hun aanvallen in te zetten.

“Nu een grote meerderheid van de wereldbevolking afhankelijk is van thuisnetwerken voor werk of studie, is wat er gebeurt met routers belangrijker dan ooit,” zegt Jon Clay, Director of Global Threat Communications bij Trend Micro. “Cybercriminelen weten dat de meerderheid van consumentenrouters gebruikmaakt van standaard logingegevens en hebben het aantal aanvallen flink opgevoerd. Voor de thuisgebruiker kan dat betekenen dat ze een deel van hun bandbreedte kwijtraken aan cybercriminelen en dat hun wifi-verbinding ineens een stuk trager werkt. Ook bedrijven kunnen het doelwit zijn van deze secundaire aanvallen. Voor hen kan het betekenen dat hun volledige website plat komt te liggen.”

Trend Micro’s onderzoek onthult verder een toename in kwaadaardige inlogpogingen voor routers vanaf oktober 2019, waarbij aanvallers geautomatiseerde software inzetten om veelgebruikte wachtwoordcombinaties te proberen. Het aantal pogingen nam toe van rond de 23 miljoen in september 2019 tot bijna 249 miljoen pogingen in december 2019. In de maand maart van 2020 vond Trend Micro al bijna 194 miljoen kwaadaardige inlogpogingen. 

Een andere indicator waaruit blijkt dat de schaal van deze bedreiging is toegenomen is dat apparaten telnetsessies proberen te openen met andere IoT-apparaten. Omdat telnet niet versleuteld is, heeft het de voorkeur van veel aanvallers - en hun botnets - als manier om te zoeken naar gebruikersgegevens. Op zijn hoogtepunt, half maart 2020, probeerden bijna 16.000 apparaten telnetsessies te openen met andere IoT-apparaten binnen één week. 

Deze trend is om verschillende redenen zorgwekkend. Cybercriminelen concurreren met elkaar om zoveel mogelijk routers te besmetten zodat deze ingelijfd kunnen worden in botnets. Deze worden vervolgens verkocht op ondergrondse sites om Distributed Denial of Service (DDoS)-aanvallen te lanceren of als manier om andere aanvallen zoals click fraude, datadiefstal en account takeovers te anonimiseren. 

De concurrentie is inmiddels zo hevig dat criminelen bestaande malware op routers verwijderen waardoor hun rivalen geen toegang meer hebben en zij complete controle over het apparaat kunnen claimen. 

Voor de thuisgebruiker leidt een besmette router niet alleen tot prestatieproblemen van het thuisnetwerk. Als vervolgens aanvallen worden gedaan vanaf dat apparaat, kan het IP-adres op de zwarte lijst belanden. Hierdoor kan dit adres worden gemarkeerd als crimineel waardoor het verkeer vanaf die router potentieel geweerd wordt van allerlei websites en internetdiensten en zelfs van corporate netwerken. 

Het rapport laat zien dat er een bloeiende zwarte markt is in botnet-malware en dat botnets ook eenvoudig ingehuurd kunnen worden. Ondanks dat elk IoT-apparaat besmet en gebruikt kan worden in een botnet, zijn routers van juist interesse omdat deze gemakkelijk toegankelijk en direct verbonden zijn met het internet. 

Trend Micro doet de volgende aanbevelingen voor thuisgebruikers:

• Maak gebruik van een sterk wachtwoord en verander deze van tijd tot tijd;
• Controleer of je router gebruikmaakt van de meest recente firmware;
• Check logs om gedrag te vinden dat niet logisch is voor het netwerk;
• Sta alleen logins tot de router toe van het lokale netwerk.
   

Lees het complete rapport hier.