{"id":26844,"date":"2022-06-15T10:03:06","date_gmt":"2022-06-15T08:03:06","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26844"},"modified":"2022-06-15T10:03:06","modified_gmt":"2022-06-15T08:03:06","slug":"router-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/router-malware\/26844\/","title":{"rendered":"Minacce occulte: i malware che infettano i router"},"content":{"rendered":"

Realizzate una scansione settimanale del vostro computer per verificare la presenza di virus, aggiornate spesso i sistemi e i programmi<\/a>, utilizzate password forti e in generale siete prudenti quando navigate sul web\u2026 eppure, per qualche strano motivo, Internet va lento e non potete accedere ad alcuni siti web, vero? La causa potrebbe essere un malware, ma non ha attaccato il computer, bens\u00ec il router.<\/p>\n

Perch\u00e9 i router?<\/h2>\n

I criminali informatici prendono di mira i router soprattutto per due motivi. In primo luogo, perch\u00e9 tutto il traffico Internet passa attraverso questi dispositivi; in secondo luogo, non \u00e8 possibile scansionare un router con un antivirus normale. Quindi i malware che si sono insediati nel router possono attaccare facilmente ma nel contempo \u00e8 molto difficile che vengano individuati, per non parlare della loro eliminazione. Oggi analizziamo alcune azioni che i criminali informatici possono compiere attraverso un router infetto.<\/p>\n

Creare una botnet<\/h2>\n

Uno dei casi pi\u00f9 comuni \u00e8 quello in cui un router infetto si unisce a una botnet, ovvero una rete di dispositivi che inviano miriadi di richieste a un determinato sito web o servizio online come parte di un attacco DDoS. L\u2019obiettivo degli hacker \u00e8 quello di sovraccaricare il servizio preso di mira a tal punto da rallentarlo e far in modo che smetta di funzionare.<\/p>\n

Gli utenti vittime di questo attacco, e con i router compromessi, osservano che la velocit\u00e0 di Internet \u00e8 pi\u00f9 bassa perch\u00e9 i router sono impegnati nell\u2019invio di richieste dannose e possono gestire il resto del traffico solo nei momenti in cui questa attivit\u00e0 si ferma per qualche momento.<\/p>\n

Secondo i nostri dati, nel 2021, sono due le famiglie di malware che hanno preso di mira la maggior parte dei router: si chiamano Mirai e M\u0113ris. La prima \u00e8 di gran lunga la pi\u00f9 utilizzata ed \u00e8 responsabile di quasi la met\u00e0 di tutti gli attacchi ai router.<\/p>\n

Mirai<\/h3>\n

Questa famigerata famiglia di malware dal nome dolce (che significa \u201cfuturo\u201d in giapponese) \u00e8 nota dal 2016. Oltre ai router, \u00e8 nota per infettare le telecamere IP, smart TV e altri dispositivi IoT, anche aziendali, come controller wireless e display pubblicitari digitali. Inizialmente concepita per effettuare attacchi DDoS su larga scala ai danni dei server di Minecraft, la botnet Mirai ha iniziato ad attaccare altri servizi. Il codice sorgente del malware \u00e8 da tempo disponibile online e costituisce la base di un numero sempre maggiore di nuove varianti.<\/p>\n

M\u0113ris<\/h3>\n

Non a caso M\u0113ris significa \u201cpeste\u201d in lettone. Questa minaccia ha gi\u00e0 colpito migliaia di dispositivi di alta prestazione (per lo pi\u00f9 router MikroTik) e li ha collegati tra loro in una rete per attacchi DDoS. Ad esempio, durante un attacco a una societ\u00e0 finanziaria statunitense<\/a> nel 2021, il numero di richieste provenienti dalla rete di dispositivi infettati da M\u0113ris ha raggiunto i 17,2 milioni al secondo. Pochi mesi dopo, la botnet ha attaccato diverse societ\u00e0 finanziarie e informatiche russe<\/a>, registrando 21,8 milioni di richieste al secondo, un vero e proprio record.<\/p>\n

Furto di dati<\/h2>\n

Alcuni malware che infettano i router possono causare danni ancora pi\u00f9 gravi, come rubare i vostri dati. Quando si naviga su Internet, si inviano e si ricevono molti dati importanti come i dati di pagamento quando si compra qualcosa in uno store, le credenziali dei social o documenti di lavoro inviati via e-mail. Tutte queste informazioni, insieme al resto del traffico di rete, passano inevitabilmente attraverso il router. Durante un attacco, i dati possono essere intercettati dal malware e finire direttamente nelle mani dei criminali informatici.<\/p>\n

VPNFilter<\/a> \u00e8 uno dei malware capace di rubare i dati degli utenti. Infettando i router e i server NAS, acquisisce la capacit\u00e0 di raccogliere informazioni e di controllare o disattivare il router.<\/p>\n

Siti web e spoofing<\/h2>\n

I malware che attaccano i router possono reindirizzare di nascosto l\u2019utente a pagine con annunci pubblicitari o siti dannosi invece di quelli che si desiderava visitare. L\u2019utente (e anche il browser) penser\u00e0 di accedere a un sito web legittimo, mentre in realt\u00e0 sta per finire nelle mani dei cybercriminali.<\/p>\n

Funziona cos\u00ec: quando inserite l\u2019URL di un sito (ad esempio, google.com) nella barra degli indirizzi, il vostro computer o smartphone invia una richiesta a un server DNS speciale dove vengono memorizzati tutti gli indirizzi IP registrati e gli URL corrispondenti. Se il router \u00e8 stato infettato, invece di un server DNS legittimo, pu\u00f2 inviare richieste a uno falso che risponde alla query \u201cgoogle.com\u201d con l\u2019indirizzo IP di un sito completamente diverso, che potrebbe essere un sito di phishing<\/a>.<\/p>\n

Questo era l\u2019obiettivo del trojan Switcher: infiltrarsi nelle impostazioni del router e impostare come predefinito un server DNS dannoso. Naturalmente, tutti i dati inseriti nelle pagine finivano nelle mani degi hacker.<\/p>\n

Come si infiltra il malware nei router?<\/h2>\n

Esistono due modi principali per impiantare un malware in un router: indovinando la admin password del router o sfruttando una vulnerabilit\u00e0 del dispositivo.<\/p>\n

Indovinare la password<\/h3>\n

Tutti i router dello stesso modello tendono ad avere la stessa admin password come impostazione di fabbrica. Da non confondere con la network security key (la stringa di caratteri che si inserisce per connettersi al Wi-Fi), la admin password viene utilizzata per accedere al menu delle impostazioni del router. Se l\u2019utente ha lasciato involontariamente le impostazioni di fabbrica invariate, gli hacker possono facilmente indovinare la password, soprattutto se conoscono la marca del router, e infettarlo.<\/p>\n

Di recente, per\u00f2, i fabbricanti hanno iniziato a prendere la sicurezza pi\u00f9 seriamente, assegnando una password unica e aleatoria a ogni singolo dispositivo, rendendo questo metodo di attacco meno efficace. Tuttavia, indovinare la combinazione giusta per i modelli pi\u00f9 vecchi \u00e8 ancora un gioco da ragazzi.<\/p>\n

Sfruttamento delle vulnerabilit\u00e0<\/h3>\n

Le vulnerabilit\u00e0 dei router sono falle che interessano la gateway di accesso a Internet attraverso le quali le minacce informaticche possono penetrare nella rete domestica o aziendale (o solo nel router, perch\u00e9 \u00e8 pi\u00f9 difficile per le minacce essere rilevate). La gi\u00e0 citata botnet M\u0113ris fa proprio questo: sfrutta le vulnerabilit\u00e0 non corrette dei router MikroTik.<\/p>\n

Secondo una nostra ricerca<\/a>, solo negli ultimi due anni sono state scoperte diverse centinaia di nuove vulnerabilit\u00e0 nei router. Per proteggere i punti deboli, i fornitori di router rilasciano patch e nuove versioni del firmware (soprattutto, gli aggiornamenti del sistema operativo dei router). Purtroppo, per\u00f2, molti utenti non si rendono conto che il software del router deve essere aggiornato, proprio come gli altri programmi.<\/p>\n

Come proteggere la vostra rete?<\/h2>\n

Se volete proteggere il vostro router domestico o aziendale e tenere al sicuro i vostri dati, seguite i seguenti consigli.<\/p>\n

Almeno una volta al mese, controllate sul sito web del produttore gli ultimi aggiornamenti del firmware del router. Installateli non appena sono disponibili. Per alcuni modelli, le patch si installano in modo automatico, ma a volte \u00e8 necessario farlo manualmente. Sul sito web del produttore \u00e8 possibile trovare informazioni sull\u2019aggiornamento del software del dispositivo.<\/p>\n

Create una admin password per il router lunga e forte. Per non dimenticarla, utilizzate un password manager<\/a><\/p>\n

Se siete un po\u2019 esperti o se trovate le istruzioni (ad esempio sul sito web del fornitore), disabilitate l\u2019accesso remoto alle impostazioni di amministrazione del router.<\/p>\n

Configurate correttamente il Wi-Fi<\/a>: create a una password unica, utilizzate uno standard di crittografia wireless forte e impostate una rete per gli ospiti<\/a> in modo tale che ospiti e vicini senza scrupoli (o semplicemente sbadati) non diffondano malware sulla vostra rete attraverso i loro dispositivi infetti.<\/p>\n

\u2013 Infine, utilizzate un\u2019 app VPN<\/a> capace di crittografare tutte le informazioni in uscita prima di passarle al router, mantenendole al sicuro dai criminali informatici anche se hanno infettato il dispositivo.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

I malware possono infettare il vostro router, rallentare la connessione a Internet e rubare i vostri dati. Oggi vi spieghiamo come proteggere il vostro Wi-Fi.<\/p>\n","protected":false},"author":2484,"featured_media":26845,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16,2641],"tags":[50,496,646,736,49],"class_list":{"0":"post-26844","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-threats","9":"tag-consigli-2","10":"tag-ddos","11":"tag-internet","12":"tag-router","13":"tag-wi-fi"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/router-malware\/26844\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/router-malware\/24258\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/router-malware\/19741\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/router-malware\/9956\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/router-malware\/26586\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/router-malware\/24544\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/router-malware\/24904\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/router-malware\/27267\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/router-malware\/33319\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/router-malware\/10767\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/router-malware\/44539\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/router-malware\/19023\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/router-malware\/19568\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/router-malware\/28888\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/router-malware\/32536\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/router-malware\/28317\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/router-malware\/25107\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/router-malware\/30620\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/router-malware\/30369\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/consigli-2\/","name":"consigli"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26844","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=26844"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26844\/revisions"}],"predecessor-version":[{"id":26848,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/26844\/revisions\/26848"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/26845"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=26844"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=26844"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=26844"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}