De groeiende dreiging van routermalware
(Ga rechtstreeks naar het gedeelte over het verwijderen van virussen en malware op een router.)
De laatste tien jaar ontdekken cyberbeveiligingsonderzoekers steeds vaker malware die routers rechtstreeks infecteert. Een goed voorbeeld daarvan is het Trojaanse paard Switcher uit 2016. Dit kaapte de Android-apparatuur van zijn slachtoffers om de routerinstellingen te manipuleren.
Na installatie op de telefoon van het slachtoffer probeerde het Trojaanse paard Switcher toegang tot de router te krijgen door middel van een brutekrachtaanval. Daarbij probeert een hacker een systeem te infiltreren door duizenden wachtwoorden en aanmeldingsgegevens uit te proberen, totdat hij of zij een combinatie heeft gevonden die werkt. (Daarom is het van groot belang uw router met een sterk en uniek wachtwoord te beschermen.)
Wanneer de aanvaller zich eenmaal toegang heeft verschaft tot de router, wijzigt hij of zij de DNS-instellingen om het internetverkeer om te leiden naar servers die in handen zijn van cybercriminelen. Dit soort aanval wordt een DNS-kaping genoemd. Omdat de infectie van de router gevolgen heeft voor het hele netwerk, lopen alle aangesloten apparaten gevaar.
VPNFilter is een recenter voorbeeld van routermalware. In tegenstelling tot Switcher infecteerde VPNFilter routers rechtstreeks via een worm die gericht bekende kwetsbaarheden aanviel. Slachtoffers konden deze malware alleen verwijderen door de fabrieksinstellingen van de router te herstellen. Halverwege 2018 waren er wereldwijd naar schatting een half miljoen apparaten met VPNFilter geïnfecteerd.
In 2019 namen onze experts bij AVG een piek waar in het gebruik van de exploitkit GhostDNS om slachtoffers in Brazilië aan te vallen. Bij dit soort aanvallen wordt het internetverkeer omgeleid naar een andere website met de exploitkit GhostDNS wanneer het slachtoffer een gehackte website bezoekt. Op dat moment gaat de exploitkit automatisch op zoek naar de router in het netwerk van het slachtoffer en probeert daarop in te breken. Als dat lukt, worden de DNS-instellingen gewijzigd. In dat geval wordt de gebruiker voortaan omgeleid naar phishingwebsites.
Kan een wifi-router geïnfecteerd raken met een virus?
Uw router is, net als elk ander apparaat met een besturingssysteem, kwetsbaar voor malware, zoals de hierboven beschreven dreiging VPNFilter en het Trojaanse paard Switcher. Op veel routers wordt een Linux-besturingssysteem gebruikt, maar sommige routerfabrikanten geven de voorkeur aan hun eigen besturingssysteem. De cryptomining-aanval gericht op MikroTik-routers in 2018 is een berucht voorbeeld van hackers die schadelijke scripts schrijven om het besturingssysteem van specifieke routers aan te vallen.
De grootste bedreiging voor uw router is een zwak wachtwoord of een andere kwetsbaarheid, zoals een ingeschakelde WPS-functie (Wi-Fi Protected Setup) met pincode. Een pincode laat zich veel makkelijker kraken dan een lang en complex wachtwoord.
Hoeveel schade kan routermalware aanrichten?
Als een hacker erin slaagt uw router te infecteren, zijn de risico’s aanzienlijk. Een DNS-kaping van uw router kan gevolgen hebben voor elk apparaat in het netwerk. In dat geval kan namelijk het internetverkeer van iedereen die het netwerk gebruikt worden omgeleid naar schadelijke websites.
Sommige daarvan lijken bedrieglijk veel op de websites die u vertrouwt. U denkt dat u uw creditcardnummer invoert op uw favoriete e-commercewebsite, maar geeft die informatie in werkelijkheid door aan een hacker.
Bij een routeraanval is werkelijk alles in uw netwerk in gevaar.
Daarnaast kunnen routerhackers uw netwerkverkeer doorsturen naar sites die schadelijke scripts uitvoeren in uw browser om de wachtwoorden te stelen die u invoert op de websites die u bezoekt. Sommige hackers zetten deze scripts in bij een zogenaamde cryptojackingaanval. Daarbij wordt uw computer ingeschakeld om cryptomunten delven en daar wordt uw computer trager van, neemt het energieverbruik toe en raakt de batterij van uw laptop snel leeg.
Daarnaast kan een aanvaller zich als gevolg van een routerhack toegang verschaffen tot uw wifi-systeem en zo het verkeer in uw netwerk afluisteren, van welk apparaat in het netwerk het ook afkomstig is. Daarbij moet u denken aan uw computers, de telefoons van uw gezin en alle andere netwerkapparaten in uw woning.
Bij een routeraanval is werkelijk alles in uw netwerk in gevaar. Een hacker kan uw router gebruiken om alle gegevens op alle apparaten in uw netwerk in te zien en daarnaast nog meer malware installeren. Daarom moet u bij een grootschalige cyberaanval allereerst de routerbeveiliging verbeteren.
Vaststellen of uw router is geïnfecteerd
Vermoedelijk leest u dit omdat u denkt dat uw router is geïnfecteerd met malware. Eens kijken of dat echt zo is. Hier volgen enkele manieren om te controleren of er malware op uw router aanwezig is.
Ten eerste bespreken we diverse veelvoorkomende symptomen die kunnen duiden op een malware-infectie op uw router. Vervolgens laten we zien hoe u uw wifi-netwerk snel kunt controleren op malware met behulp van een speciaal hulpprogramma voor het scannen van routers.
Veelvoorkomende symptomen
De waarschuwingssignalen in deze lijst kunnen duiden op de aanwezigheid van een routervirus, andere routermalware of een DNS-kaping. Routers worden vaak gehackt als gevolg van zwakke wachtwoorden of andere ontoereikende beveiligingsmaatregelen.
Uw internet werkt trager dan normaal
Als er problemen zijn met de router, kunnen de prestaties teruglopen. Als internet plotseling trager wordt en daar geen duidelijke reden voor is, doet u er verstandig aan te onderzoeken of er iets mis is met uw router.
Computerprogramma’s beginnen willekeurig te crashen
Routerinfecties blijven niet noodzakelijkerwijs beperkt tot de router. Veel hackers gebruiken uw router als middel om andere apparaten (zoals uw computer) met malware te infecteren. Als uw computer zich vreemd begint gedragen, kan dit duiden op een inbreuk op uw netwerk. In het algemeen kunt u dergelijke prestatieproblemen voorkomen door uw computer op te schonen om deze sneller te laten werken, maar een malware-infectie op de router kan al uw harde werk tenietdoen.
Er verschijnen pop-upmeldingen met valse viruswaarschuwingen
Valse viruswaarschuwingen en andere pop-upmeldingen kunnen duiden op scareware of adware. Scareware probeert u over te halen te betalen voor vaak nutteloze antivirussoftware om uw computer te beschermen tegen een niet-bestaande malware-infectie. Adware laat advertenties zien om advertentie-inkomsten voor de exploitant te genereren. Scareware en adware zijn voorbeelden van malware die een hacker na het hacken van uw router op uw computer kan plaatsen. Als u tijdens het surfen steeds meer advertenties ziet, kan dit duiden op een adware-infectie. Verwijder deze snel met een speciaal adware-opschoningsprogramma.
Ransomware heeft uw gegevens vergrendeld
Dit is een duidelijk teken dat er iets mis is. Als een hacker uw router heeft gehackt en ransomware op uw computer heeft gezet, merkt u de gevolgen daarvan onmiddellijk. Hopelijk krijgt u nooit te maken met een ransomwareaanval, maar als het gebeurt, moet u de malware onmiddellijk verwijderen met een programma voor het verwijderen van ransomware.
Internetzoekopdrachten worden om onduidelijke redenen omgeleid
Dit is een van de voornaamste symptomen van een DNS-kaping. De aanvaller leidt uw internetverkeer van de websites die u wilt bezoeken om naar websites en servers die in zijn of haar handen zijn, in de hoop dat u per ongeluk privacygevoelige informatie onthult of op een geïnfecteerde koppeling klikt waarmee malware op uw apparaat wordt gedownload.
Vertrouwde sites zien er anders uit of gedragen zich anders
Let op onverklaarbare veranderingen op bekende websites die u regelmatig bezoekt. Begint de URL met alleen HTTP, terwijl deze normaal gezien een HTTPS-certificering heeft? Zien de sites er plotseling anders uit? Ziet u vreemde fouten terwijl u zich probeert aan te melden? Wordt er tijdens het browsen plotseling veel meer rekenkracht gevraagd van uw computer, waardoor de CPU-ventilatoren harder gaan blazen? Al deze symptomen wijzen op een DNS-kaping.
Er worden onbekende software en werkbalken geïnstalleerd
Bloatware en andere ongewenste software zijn veelvoorkomende neveneffecten van malware. Als er nieuwe software op uw computer verschijnt of als de instellingen ineens zijn gewijzigd, weet u dat er iets mis is.
Gebruik een speciaal antivirusprogramma voor routers
AVG AntiVirus Free kan uw draadloze netwerk scannen om kwetsbaarheden op te sporen die uw netwerk kwetsbaar maken voor DNS-kaping of malware.
Met dit programma kunt u uw wifi-netwerk als volgt scannen:
-
Open AVG AntiVirus Free en klik in de categorie Basisbescherming op Computer.
-
Selecteer Netwerk inspecteren. Klik op het volgende scherm op Netwerkscan.
-
Selecteer het type netwerk dat u gebruikt: Thuis of Openbaar.
-
Nadat u het netwerktype hebt geselecteerd, wordt begonnen met het scannen van uw draadloze netwerk.
-
Na afloop van de scanbewerking verschijnt er een overzicht van alle apparaten in het netwerk. Deze lijst bevat uw router, uw computer, uw telefoon, enzovoort. Klik op het pijltje naast een apparaat voor meer informatie. Als u de muis op het pijltje laat rusten, verschijnt de tekst Details weergeven.
Klik op Gereed wanneer u zover bent.
Netwerk inspecteren is slechts het topje van de ijsberg als het gaat om het volledige cyberbeveiligingspakket dat AVG AntiVirus Free u biedt. Detecteer, blokkeer en verwijder malware, voorkom dat hackers in uw apparaten binnendringen en vermijd onveilige koppelingen en e-mailbijlagen met een cyberbeveiligingstool die door meer dan 400 miljoen gebruikers wordt vertrouwd.
De DNS-instellingen van uw router controleren
Onverwachte wijzigingen in de DNS-instellingen vormen een duidelijke aanwijzing dat uw router is geïnfecteerd. U kunt de DNS-instellingen handmatig controleren om te zien of alles normaal is.
-
Ga in uw browser naar de instellingen voor uw router. Hoe u dit doet, kunt u nalezen in de documentatie bij de router.
-
Ga naar de DNS-instellingen in het menu van de router. De exacte locatie van deze instellingen verschilt per router, maar meestal staan ze in het gedeelte “Internet” of “Netwerk”.
-
Een “automatische” DNS-configuratie is bemoedigend, want dit betekent dat de router de DNS-gegevens rechtstreeks van uw internetprovider ontvangt. Zo hoort het.
Het kan natuurlijk ook zijn dat u de DNS-instellingen eerder zelf hebt opgegeven. Controleer in dat geval of ze nog steeds hetzelfde zijn.
-
Als u echter denkt dat de DNS-instellingen zijn gewijzigd, kan het zijn dat er malware op de router staat of dat er op een andere manier met de instellingen is geknoeid.
Virussen en malware verwijderen van een geïnfecteerde router
Als u denkt dat de router gehackt is, moet u de malware verwijderen. Houd er wel rekening mee dat de effectiviteit van de hier beschreven procedures kan variëren, afhankelijk van het routermodel en het soort malware waarmee u te maken hebt.
Zo kunt u VPNFilter verwijderen door de fabrieksinstellingen te herstellen, maar het kan zijn dat DNS-manipulaties met behulp van het Trojaanse paard Switcher na het opnieuw opstarten van uw computer nog steeds aanwezig zijn. Dus zelfs als u erin slaagt de DNS-instellingen te herstellen, loopt u mogelijk nog steeds risico. En omdat Switcher Android-apparaten infecteert, niet uw router zelf, moet u de malware van uw telefoon verwijderen om te voorkomen dat de router opnieuw geïnfecteerd raakt.
Maar dat ter zijde. U kunt een virus (of andere malware) als volgt uit uw wifi-netwerk verwijderen.
1. Maak back-ups van belangrijke gegevens en bestanden
Voordat u de instellingen van een apparaat herstelt, moet u altijd een back-up van belangrijke gegevens en bestanden maken. Hebt u dat nog niet gedaan, maak dan een back-up van uw pc op een extern opslagapparaat of op een opslagaccount in de cloud.
Het herstellen van de instellingen van uw router heeft geen invloed op de bestanden op uw pc, maar u doet er toch verstandig aan altijd een back-up van uw bestanden te maken.
2. Herstel de fabrieksinstellingen van de router
Door de fabrieksinstellingen van de router terug te zetten, herstelt u de leveringstoestand. Al uw instellingen gaan verloren, maar hopelijk is daarna ook de malware verwijderd. Het terugzetten van de fabrieksinstellingen is een effectief middel tegen VPNFilter, omdat hiermee de malware van de router wordt verwijderd.
In de meeste gevallen kunt u de fabrieksinstellingen herstellen door een knopje op de router in te drukken met een paperclip of een ander klein pennetje. Raadpleeg de gebruikershandleiding voor specifieke instructies.
3. Wijzig het wachtwoord van het apparaat
Nadat u de fabrieksinstellingen van het apparaat hebt teruggezet, moet u alle instellingen opnieuw configureren, waaronder de naam van het wifi-netwerk en het wachtwoord. Ook de aanmeldingsgegevens van uw router zijn teruggezet op de standaardinstellingen. Aangezien veel soorten routermalware de standaardaanmeldingsgegevens gebruiken om zich toegang te verschaffen tot uw router, doet u er goed aan nu de gebruikersnaam en het wachtwoord van uw router te wijzigen.
Als u een sterk en uniek wachtwoord instelt, bent u goed beschermd tegen malware die gebruikmaakt van de standaardaanmeldingsgegevens voor beheer.
Installeer een antivirusprogramma met routerbeveiligingsfuncties
Verbeter de beveiliging van uw router verder door uw wifi-netwerk te beveiligen met speciale virusbeveiliging voor routers. AVG AntiVirus Free bewaakt uw thuisnetwerk voortdurend om eventuele kwetsbaarheden op te sporen die hackers kunnen gebruiken om in te breken. U ontvangt een waarschuwing wanneer er nieuwe apparaten aan uw netwerk worden toegevoegd. Zo weet u meteen of een hacker (of een van uw buren) probeert uw netwerk te gebruiken.
Houd hackers buiten de deur en bescherm al uw apparaten met de toonaangevende cyberbeveiligingsoplossing van AVG.