Per quasi una settimana, un gruppo di cybercriminali è riuscito ad accedere alle impostazioni di router in varie parti del mondo e a modificare le impostazioni DNS al fine di spingere gli utenti a visitare siti che in apparenza mostrano informazioni sul nuovo coronavirus ma che in realtà sono sfruttati per diffondere malware.
A essere presi di mira sono router di D-Link e Linksys. Bitdefender, azienda che vende soluzioni di sicurezza, riferisce che i cybercriminali hanno sfruttato attacchi a forza bruta (provando tutte le possibili combinazioni di caratteri ammesse e tutte le lunghezze di stringa ammesse dal particolare sistema) per ottenere l’accesso come amministratore ai router; dopo avere individuato come accedere al dispositivo, hanno modificato le impostazioni relative ai DNS, facendo in modo che l’interpretazione degli URL, in altre parole la relazione tra nomi di dominio e i rispettivi indirizzi IP, passasse per i loro server.
In pratica ogni richiesta ai server DNS era bypassata, facendo in modo che i nomi di vari indirizzi web (domini di Amazon, Disney e altri ancora) portassero a siti malevoli; qui agli utenti era richiesto di installare app che avrebbero dovuto mostrare informazioni sulla pandemia da coronavirus (COVID-19). Bitdefender e il sito Bleeping Computer riferiscono che l’app in questione installava una variante di “Oski“, un trojan che intercetta dati d’interesse per i cybercriminali (es. le credenziali bancarie), venduto in dark forum frequentati da criminali in grado, tra le altre cose, di cifrare documenti con password al fine di richiede un riscatto ai malcapitati.
Gli indirizzi dei server DNS usati dai cybercriminali sono: 109.234.35.230 e 94.103.82.249; se nelle impostazioni DNS del vostro router trovate questi indirizzi, cambiateli immediatamente, usando DNS come 1.1.1.1 (resolver DNS pubblico di cloudflare), 8.8.8.8, 8.8.4.4 (DNS pubblico di Google), 208.67.222.222 e 208.67.220.220 (indirizzi per uso pubblico di OpenDNS).
Oltre a cambiare i DNS è fondamentale cambiare la password di default assegnata dai produttori dei router e usare una password lunga e robusta. Come abbiamo già spiegato qui, un trucco per creare password robuste ma non facili da indovinare, consiste nel pensare a una frase nota, esempio “Nel mezzo del cammin di nostra vita mi ritrovai per una selva oscura” e sfruttare le prime lettere di ogni parola: “NMDCDNVMRPUSO” seguite da numeri (es. l’anno della nostra data di nascita) e simboli come “$” o altri: non facile da indovinare, facilissima da ricordare per noi.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
