Un nouveau rapport de Trend Micro met en garde les consommateurs contre une nouvelle vague d’attaques visant à compromettre leurs routeurs domestiques, pour les utiliser dans des « botnets IoT », c’est-à-dire des appareils connectés à Internet qui sont tous infectés et contrôlés par un type commun de malware.
Selon le rapport, il y a eu un pic récent d’attaques ciblant et exploitant les routeurs, en particulier autour du quatrième trimestre 2019. La recherche, indique la société, indique que l’utilisation abusive de ces appareils se poursuivra car les attaquants peuvent facilement monétiser ces infections dans des attaques secondaires sauf si les utilisateurs prennent des mesures pour empêcher leurs appareils d’activer cette activité criminelle.
« Avec une grande majorité de la population qui dépend actuellement des réseaux domestiques pour son travail et ses études, ce qui arrive à votre routeur n’a jamais été aussi important », déclare Jon Clay, directeur des communications mondiales contre les menaces pour Trend Micro. « Les cybercriminels savent qu’une grande majorité des routeurs domestiques ne sont pas sécurisés avec les informations d’identification par défaut et ont multiplié les attaques à grande échelle. »
» Pour l’utilisateur domestique, c’est détourner sa bande passante et ralentir son réseau « , déclare Clay. » Pour les entreprises ciblées par des attaques secondaires, ces botnets peuvent totalement détruire un site Web, comme nous l’avons vu lors d’attaques de grande envergure. «
Les recherches de la société ont révélé une augmentation à partir d’octobre 2019 des tentatives de connexion par force brute contre les routeurs, dans lesquelles les attaquants utilisent un logiciel automatisé pour essayer des combinaisons de mots de passe courantes. Le nombre de tentatives a presque décuplé, passant d’environ 23 millions en septembre à près de 249 millions de tentatives en décembre 2019. Pas plus tard qu’en mars 2020, selon l’entreprise, elle a enregistré près de 194 millions de connexions par force brute.
Un autre indicateur de l’augmentation de l’ampleur de cette menace, selon la société, est que les appareils tentent d’ouvrir des sessions telnet avec d’autres appareils IoT. Parce que telnet n’est pas chiffré, il est préféré par les attaquants – ou leurs botnets – comme moyen de sonder les informations d’identification des utilisateurs. À son apogée, à la mi-mars 2020, près de 16000 appareils ont tenté d’ouvrir des sessions telnet avec d’autres appareils IoT en une seule semaine.
La tendance est préoccupante, dit l’entreprise, et indique que les cybercriminels sont en concurrence les uns avec les autres pour compromettre autant de routeurs que possible afin qu’ils puissent être enrôlés dans des botnets. Ceux-ci sont ensuite vendus sur des sites clandestins, soit pour lancer des attaques par déni de service distribué (DDoS), soit comme moyen d’anonymiser d’autres attaques telles que la fraude au clic, le vol de données et la prise de contrôle de compte. La concurrence est si féroce, dit la société, que les criminels sont connus pour désinstaller tous les logiciels malveillants qu’ils trouvent sur les routeurs ciblés, démarrant les leurs afin qu’ils puissent revendiquer un contrôle total sur l’appareil. Pour l’utilisateur – domestique ou professionnel – un routeur compromis est susceptible de souffrir de problèmes de performances, et si des attaques sont ensuite lancées à partir de cet appareil, son adresse IP peut également être mise sur liste noire, ce qui peut les impliquer dans des activités criminelles et les couper potentiellement des parties clés d’Internet, et même les réseaux d’entreprise.
Comme expliqué dans le rapport, qui met en évidence trois familles de logiciels malveillants de botnet (Mirai, Kaiten et Qbot) il existe un marché noir florissant des logiciels malveillants de botnet et des botnets à la location. Bien que tout appareil IoT puisse être compromis et exploité dans un botnet, les routeurs présentent un intérêt particulier car ils sont facilement accessibles et directement connectés à Internet.
Pour lutter contre cela, dit l’entreprise, les utilisateurs à domicile doivent tenir compte des recommandations suivantes :
- Assurez-vous qu’un mot de passe fort est utilisé et qu’il est modifié de temps en temps.
- Assurez-vous que le routeur exécute le dernier micrologiciel (firmware)
- Vérifiez les journaux (logs) pour détecter un comportement qui n’a pas de sens pour le réseau.
- Autorisez uniquement les connexions au routeur à partir du réseau local.
Pour en savoir plus, consultez le rapport : « Worm War : The Botnet Battle for IoT Territory » de Trend Micro
Source : https://www.smart2zero.com/news/home-routers-caught-iot-botnet-war