Black Lotus Labs, il braccio di ricerca sulle minacce di Lumen Technologies, ha scoperto un nuovo malware che prende di mira i router per piccoli uffici e home office (SOHO). Questa è la terza volta nell’ultimo anno che l’azienda scopre un malware di questo tipo. La scoperta del malware, denominato “AVrecon”, è avvenuta mentre l’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli Stati Uniti (CISA) emetteva avvertimenti sui router SOHO.
Dettagli su AVrecon e il suo impatto
Utilizzando la visibilità della rete globale di Lumen per raccogliere uno snapshot di 28 giorni di AVrecon, Black Lotus Labs ha determinato che il malware ha infiltrato più di 70.000 macchine e ha ottenuto un controllo persistente su più di 40.000 di esse in 20 paesi. Questo rende AVrecon uno dei più grandi botnet che mirano ai router SOHO mai visti.
Le minacce dei router SOHO e le precauzioni da prendere
I router SOHO rappresentano una grave minaccia perché questi dispositivi non vengono sempre aggiornati e corretti automaticamente, né vengono regolarmente monitorati, il che riduce significativamente la capacità di rilevare attività malevole. Con la prevalenza dei lavoratori remoti, i difensori delle reti aziendali dovrebbero prendere le seguenti precauzioni: continuare a cercare attacchi a credenziali deboli e tentativi di accesso sospetti, anche quando provengono da indirizzi IP residenziali; essere consapevoli che gli attori delle minacce possono generare una shell remota e distribuire moduli successivi; proteggere gli asset cloud da comunicazioni con bot che tentano di eseguire attacchi di password spraying e iniziare a bloccare gli Indicatori di Compromissione (IoC) con i firewall delle applicazioni web.