La crescente minaccia del malware per router
(Passa direttamente alla sezione Come rimuovere virus e malware da un router infetto.)
Negli ultimi anni i ricercatori nel settore della sicurezza informatica hanno iniziato a scoprire malware in grado di colpire direttamente i router. Un esempio famoso è il trojan Switcher, scoperto nel 2016, che reindirizza i dispositivi Android delle vittime per poi manipolarne le impostazioni del router.
Dopo l'installazione nel telefono di una vittima, questo malware per router della famiglia dei trojan cerca di ottenere l'accesso al router tramite un attacco di forza bruta, ovvero il tentativo di un hacker di infiltrarsi in un sistema provando tantissime password e credenziali di accesso finché non trova una combinazione valida (ecco perché è importante proteggere il router con una password complessa e univoca).
Dopo aver ottenuto l'accesso al router, l'autore dell'attacco modifica le impostazioni DNS in modo da dirottare il traffico Internet ai server di proprietà di criminali informatici. Questo tipo di attacco è noto come reindirizzamento DNS e, dato che l'infezione di un router può avere impatto su un'intera rete, sono a rischio tutti i dispositivi connessi.
VPNFilter è un esempio più recente di malware per router. Diversamente da Switcher, VPNFilter infetta direttamente i router tramite un worm che prende di mira vulnerabilità della sicurezza note e l'unico modo per rimuoverlo consiste nell'eseguire un ripristino forzato delle impostazioni di fabbrica nel router delle vittime. Si stima che fino alla metà del 2018 VPNFilter abbia infettato oltre mezzo milione di dispositivi in tutto il mondo.
Nel 2019, gli esperti in materia di minacce di AVG hanno rilevato un picco nell'utilizzo del kit di exploit GhostDNS per attacchi a vittime in Brasile. Con questo tipo di attacchi, quando una vittima visita un sito Web violato, il suo traffico viene reindirizzato a un altro sito che ospita il kit di exploit GhostDNS. A questo punto il kit di exploit identifica automaticamente il router nella rete della vittima e tenta di violarlo. Se ottiene l'accesso, modificherà le impostazioni DNS in modo che in futuro la vittima venga reindirizzata a siti Web di phishing.
Ma un router Wi-Fi può essere infettato da un virus?
Come qualsiasi altro dispositivo con un sistema operativo, anche il router è vulnerabile al malware, come nel caso delle minacce VPNFilter e trojan Switcher descritte in precedenza. Anche se molti router usano un sistema operativo basato su Linux, alcuni produttori realizzano sistemi proprietari. L'attacco di cryptomining del 2018 destinato ai router MikroTik è un clamoroso esempio del modo in cui gli hacker creano script dannosi destinati a sistemi operativi per router specifici.
La minaccia più grande per un router è una password debole o un'altra vulnerabilità della sicurezza, ad esempio un PIN WPS (Wi-Fi Protected Setup) abilitato. È molto più facile intercettare un PIN che una password lunga e complessa.
Quanti danni può causare il malware per router?
I rischi possono essere notevoli se un hacker riesce a infettare o invadere un router. Un attacco di reindirizzamento DNS nel router potrebbe compromettere qualsiasi dispositivo presente in rete e il traffico Internet di chiunque usi quella rete potrebbe essere reindirizzato a siti Web dannosi.
Alcuni di questi siti sono trappole progettate per simulare siti Web attendibili. Potresti pensare di immettere il numero di carta di credito nel tuo sito Web di e-commerce preferito, mentre in effetti stai consegnando queste informazioni a un hacker.
L'attacco a un router è come consegnare le chiavi di casa a un ladro: il pericolo si estende a qualsiasi elemento nella rete.
Gli hacker di router potrebbero anche reindirizzare il traffico a siti che eseguono script dannosi nel tuo browser per rubarti le password immesse nei siti Web che visiti. Alcuni hacker potrebbero usare questi script in un attacco di cryptojacking, forzando il computer a eseguire il mining di criptovalute e causando rallentamenti del computer, maggiore consumo di energia e il veloce scaricamento della batteria dei laptop.
Un'altra conseguenza potenziale di un attacco a un router è la possibilità che l'autore dell'attacco riesca a ottenere l'accesso al Wi-Fi per spiare il traffico di rete in ingresso e in uscita da qualsiasi dispositivo connesso, inclusi computer, telefoni e altri dispositivi connessi in ambiente domestico.
L'attacco a un router è come consegnare le chiavi di casa a un ladro: il pericolo si estende a qualsiasi elemento nella rete. Un hacker può usare il tuo router per ottenere l'accesso a tutti i dati in tutti i dispositivi nella tua rete e, già che c'è, installarvi altro malware. Per questo motivo migliorare la sicurezza del router è il primo passo per sopravvivere a un attacco informatico su larga scala.
Come stabilire se il tuo router è infetto
È probabile che tu stia leggendo questo post perché temi che il tuo router abbia un problema di malware. Di seguito puoi trovare alcuni suggerimenti per verificare se i tuoi timori sono fondati. Spiegheremo un paio di modi per controllare la presenza di malware nel router.
Prima di tutto verranno descritti alcuni sintomi comuni che potrebbero indicare un'infezione malware nel router. Vedremo poi come eseguire una veloce scansione della sicurezza della rete Wi-Fi con uno strumento di controllo del router dedicato.
Campanelli d'allarme comuni da monitorare
I campanelli d'allarme in questo elenco potrebbero segnalare la presenza di un virus nel router, di altro malware o di un attacco di reindirizzamento DNS. In molti casi, la violazione del router è la conseguenza di password deboli o di altre misure di sicurezza non adeguate.
Lentezza insolita di Internet
Le prestazioni del router potrebbero peggiorare se è impegnato a gestire problemi interni. Se Internet rallenta improvvisamente senza un motivo apparente, forse dovresti indagare se qualcosa non va con il router.
Arresti anomali casuali dei programmi del computer
Le infezioni dei router non sono necessariamente limitate al router. Molti hacker tentano di compromettere il router come mezzo per infettare altri dispositivi, come il tuo computer, con ulteriore malware. Un comportamento anomalo del computer potrebbe indicare una violazione della rete. In generale, puoi evitare questo tipo di problemi di prestazioni eseguendo una pulizia del computer per fare in modo che continui a funzionare senza intoppi e velocemente, ma basta una dose di malware tramite un router infetto per rovinare tutto.
Visualizzazione di falsi messaggi dell'antivirus come popup
La visualizzazione di falsi messaggi dell'antivirus e altri popup è un segnale indicativo rispettivamente della presenza di scareware e adware. Lo scareware tenta di forzarti all'acquisto di software antivirus spesso del tutto inutile per proteggere il computer da un'infezione malware fasulla, mentre l'adware ti inonda di annunci per generare ricavi pubblicitari per l'operatore. Sia lo scareware che l'adware sono esempi di malware che un hacker può inserire nel tuo computer dopo essere riuscito a compromettere il router. Se noti un'impennata di annunci durante la navigazione, la causa potrebbe essere un'infezione da adware ed è consigliabile gestirla il prima possibile con uno strumento di pulizia per adware dedicato.
Dati bloccati dal ransomware
Questo potrebbe essere il primo tra i segnali ovvi della presenza di un'anomalia. Se un hacker riesce a violare il router e a posizionare un pericoloso ransomware nel tuo computer, questo si paleserà immediatamente e senza ambiguità. Pur augurandoti di non dover mai subire un attacco ransomware, se accade sbarazzatene subito con l'aiuto di uno strumento per la rimozione del ransomware.
Ricerche Internet reindirizzate senza apparente motivo
Questo è uno dei principali sintomi di un attacco di reindirizzamento DNS. L'autore dell'attacco reindirizzerà il traffico Internet dai siti Web che intendi visitare, dirottandoti invece su siti e server sotto il suo controllo. La speranza è che tu divulghi inavvertitamente alcune informazioni personali sensibili oppure che tu faccia clic su un collegamento infetto che scarica malware nel tuo dispositivo.
Siti noti con aspetto o comportamento diverso
Nota se sono presenti differenze inspiegabili nei siti Web conosciuti e familiari che visiti di frequente. L'URL inizia solo con HTTP, mentre dovrebbe essere certificato HTTPS? I siti hanno improvvisamente un aspetto diverso? Noti strani errori durante l'accesso? Il browser assorbe una parte insolitamente grande della CPU, causando un rumoroso movimento delle ventole della CPU? Tutti questi segnali possono indicare un reindirizzamento DNS.
Installazione di software e barre degli strumenti sconosciuti
Il bloatware, così come altro software indesiderato, rappresenta un effetto collaterale comune del malware. Tutte le volte che noti nuovo software nel computer o una modifica delle impostazioni a tua insaputa, consideralo un segnale d'allarme.
Usa un antivirus per router dedicato
AVG AntiVirus Free può eseguire una scansione della tua rete wireless per identificare eventuali vulnerabilità che potrebbero esporti a un attacco di reindirizzamento DNS o a un'infezione malware.
Ecco come puoi usarlo per eseguire una scansione della tua rete Wi-Fi:
-
Apri AVG AntiVirus Free e fai clic su Computer nella categoria Protezione di base.
-
Seleziona Controllo di rete. Nella schermata successiva fai clic su Scansiona rete.
-
Scegli il tipo di rete in uso: Domestica o Pubblica.
-
Dopo aver effettuato la selezione, AVG AntiVirus Free avvierà la scansione della rete wireless.
-
Al termine della scansione verrà visualizzato un elenco di tutti i dispositivi nella rete, inclusi router, computer, telefoni e così via. Fai clic sulla freccia accanto a un dispositivo per visualizzare altre informazioni (passa il mouse sulla freccia per visualizzare il testo mostra dettagli).
Al termine fai clic su Fatto.
Controllo di rete è solo la punta dell'iceberg nella suite completa di strumenti di protezione offerti da AVG AntiVirus Free. Rileva, blocca e rimuovi il malware, tieni gli hacker alla larga dai tuoi dispositivi ed evita collegamenti e allegati email non sicuri con uno strumenti di sicurezza informatica apprezzato da da oltre 400 milioni di utenti.
Controlla le impostazioni DNS del router
Un segno inequivocabile della compromissione del router è la presenza di impostazioni DNS modificate. Puoi controllare manualmente le impostazioni DNS per assicurarti che tutto sia regolare.
-
Accedi alle impostazioni del router dal browser. Puoi trovare istruzioni per questa operazione nella documentazione di supporto del tuo router.
-
Trova le impostazioni DNS nel menu del router. La posizione esatta di queste impostazioni varia a seconda del router, ma prova a cercarle nella sezione "Internet" o "rete".
-
La presenza di una configurazione DNS "automatica" è un buon segno, perché significa che il router ottiene le informazioni DNS direttamente dal provider Internet. Questa è la configurazione auspicabile.
È anche possibile che tu abbia configurato impostazioni DNS manuali specifiche in precedenza. In questo caso, controlla che siano rimaste invariate.
-
Eventuali modifiche potrebbero indicare la presenza di malware per il router o di altre alterazioni.
Come rimuovere virus e malware da un router infetto
Se sospetti che il router sia stato oggetto di un attacco, il passo successivo consiste nel rimuovere il malware. Tieni presente però che l'efficacia delle procedure descritte di seguito può essere variabile a seconda del modello di router e del tipo di malware in questione.
Ad esempio, è possibile rimuovere VPNFilter con un semplice ripristino delle impostazioni di fabbrica. Il riavvio potrebbe però non essere sufficiente per risolvere le persistenti manipolazioni delle impostazioni DNS dovute al trojan Switcher. Anche se riesci a ripristinare le impostazioni DNS, quindi, potresti ancora essere a rischio. Dato che il trojan Switcher infetta i dispositivi Android, e non il router stesso, dovrai rimuovere il malware dal telefono in modo che non possa infettare nuovamente il router.
Detto questo, ecco come rimuovere un virus (o altro malware) dalla rete Wi-Fi.
1. Esegui il backup di dati e file importanti
Prima di eseguire qualsiasi tipo di ripristino del dispositivo, è buona norma creare sempre una copia di backup dei dati e dei file importanti. Se non l'hai già fatto, esegui il backup del PC in un dispositivo di archiviazione esterno o nel tuo account di archiviazione nel cloud.
Il ripristino del router non influirà sui file nel PC, ma creane sempre una copia di backup a titolo precauzionale.
2. Esegui un ripristino delle impostazioni di fabbrica del router
Il ripristino delle impostazioni di fabbrica riporta il router nelle condizioni originali. Verranno cancellate tutte le tue impostazioni e sperabilmente anche l'infezione malware. Come già accennato, il ripristino delle impostazioni di fabbrica è una soluzione efficace per VPNFilter, perché consente di rimuovere il malware dal tuo router.
Nella maggior parte dei casi, per eseguire il ripristino delle impostazioni di fabbrica dovrai premere un minuscolo pulsante del router con una graffetta o un altro oggetto appuntito. Consulta il manuale dell'utente per istruzioni specifiche.
3. Aggiorna la password del dispositivo
Dopo aver completato il ripristino dovrai riconfigurare tutte le tue impostazioni, inclusi il nome e la password per la rete Wi-Fi. Anche per le credenziali di accesso del router saranno state ripristinate le impostazioni predefinite. Poiché molti tipi di malware per router usano dati predefiniti per accedere al router, questo è il momento ideale per aggiornare nome utente e password del router.
La protezione del router con una password complessa e univoca ti offrirà un buon isolamento da qualsiasi router per malware che si basa sulle credenziali dell'amministratore predefinite per ottenere l'accesso.
Installa un antivirus con funzionalità di sicurezza per il router
Puoi migliorare ulteriormente la sicurezza del router usando una protezione antivirus per il router dedicata per la rete Wi-Fi. AVG AntiVirus Free esegue scansioni continuative della rete domestica per individuare eventuali vulnerabilità che potrebbero essere sfruttate per scopi criminali. Verranno anche visualizzati avvisi in caso di accesso alla rete di nuovi dispositivi, in modo che tu sappia immediatamente se un hacker (o un vicino speranzoso) ha deciso di sfruttare la tua rete.
Puoi tenere a distanza gli hacker e proteggere tutti i tuoi dispositivi con la soluzione di sicurezza informatica leader del settore di AVG.