Você faz a verificação de segurança em seu computador toda semana, atualiza sistemas e programas prontamente, usa senhas fortes e geralmente se cuida online… mas, por algum motivo, sua internet está lenta e alguns sites negam acesso? Pode ser um malware não no seu computador, mas no roteador.
Por que roteadores?
Os cibercriminosos têm como alvo os roteadores principalmente por dois motivos. Primeiro, porque todo o tráfego de rede passa por esses dispositivos; segundo, você não pode escanear um roteador com um antivírus comum. Portanto, o malware que se instalou no roteador tem muitas oportunidades de ataque e muito menos chance de ser detectado – e menores ainda de ser excluído. Vamos agora falar sobre algumas coisas que os cibercriminosos podem fazer com um roteador infectado.
Criar uma botnet
Um dos casos mais comuns é quando um roteador infectado se junta a uma botnet; ou seja, uma rede de dispositivos que enviam inúmeras solicitações para um determinado site ou serviço online como parte de um ataque DDoS. O objetivo dos invasores é sobrecarregar o serviço de destino a tal ponto que ele fique lento e eventualmente falhe.
Enquanto isso, são os usuários comuns que tiveram os roteadores sequestrados que sofrem com velocidades de internet mais lentas, pois seus equipamentos estão ocupados enviando solicitações maliciosas e só lidam com o tráfego dos proprietários quando param para respirar.
De acordo com nossos dados, os roteadores em 2021 foram atacados mais ativamente por duas famílias de malware: Mirai e Mēris, sendo o primeiro o campeão por uma larga vantagem – respondendo por quase metade de todos os ataques a roteadores.
Mirai
Essa famosa família de malware com um nome doce (que significa “futuro” em japonês) é conhecida desde 2016. Além de roteadores, é conhecido por infectar câmeras IP, TVs inteligentes e outros dispositivos de Internet das Coisas, incluindo equipamentos corporativos, como controladores sem fio e displays de publicidade digital. Inicialmente concebido para realizar ataques DDoS em larga escala em servidores Minecraft, o botnet Mirai foi posteriormente usado em outros serviços. O código-fonte do malware vazou há muito tempo online e forma a base de cada vez mais novas variantes.
Mēris
Não é à toa que Mēris significa “praga” em letão. Ele já afetou milhares de dispositivos de alto desempenho – principalmente roteadores MikroTik – e os conectou a uma rede para ataques DDoS. Por exemplo, durante um ataque a uma empresa financeira dos EUA em 2021, o número de solicitações da rede de dispositivos infectados pelo Mēris atingiu 17,2 milhões por segundo. Alguns meses depois, o botnet atacou várias empresas financeiras e de TI russas, com um recorde de 21,8 milhões de solicitações por segundo.
Roubo de dados
Alguns malwares que infectam roteadores podem causar danos ainda mais sérios, como roubar seus dados. Quando você está online, você envia e recebe muitas informações importantes: dados de pagamento em lojas online, credenciais em redes sociais, documentos de trabalho por e-mail. Todas essas informações, juntamente com o restante do tráfego de rede, inevitavelmente passam pelo roteador. Durante um ataque, os dados podem ser interceptados por malware e cair diretamente nas mãos dos cibercriminosos.
Um desses malwares que roubam dados é o VPNFilter. Ao infectar roteadores e servidores NAS, ele ganha a capacidade de coletar informações e controlar ou desabilitar o roteador.
Sites falsos
O malware alojado no roteador pode redirecioná-lo repentinamente para páginas com anúncios ou sites maliciosos em vez daqueles que você deseja visitar. Você (e até mesmo seu navegador) pensará que está acessando um site legítimo, quando na verdade está nas mãos de cibercriminosos.
Funciona assim: quando você insere a URL de um site (digamos, google.com) na barra de endereços, seu computador ou smartphone envia uma solicitação para um servidor DNS especial, onde são armazenados todos os endereços IP cadastrados e suas respectivas URLs. Se o roteador estiver infectado, em vez de um servidor DNS legítimo, ele pode enviar solicitações para um falso que responda à consulta “google.com” com o endereço IP de um site completamente diferente – um que pode ser de phishing.
O Trojan Switcher estava fazendo exatamente isso: infiltrando as configurações do roteador e especificando um servidor DNS malicioso como padrão. Naturalmente, todos os dados inseridos nas páginas falsas vazaram para os invasores.
Como os malwares entram nos roteadores?
Existem duas maneiras principais de plantar malware em um roteador: adivinhando a senha do administrador ou explorando uma vulnerabilidade no dispositivo.
Descubra a senha
Todos os roteadores do mesmo modelo tendem a ter a mesma senha de administrador nas configurações de fábrica. Não deve ser confundida com a chave de segurança da rede (a sequência de caracteres que você digita para se conectar ao Wi-Fi), a senha do administrador é usada para entrar no menu de configurações do roteador. Se o usuário involuntariamente deixou as configurações de fábrica inalteradas, os invasores podem adivinhar facilmente a senha – especialmente se eles conhecem a marca do roteador – e infectar o roteador.
Recentemente, no entanto, os fabricantes começaram a levar a segurança mais a sério, atribuindo uma senha aleatória exclusiva para cada dispositivo em particular, tornando esse método menos eficaz. Mas adivinhar a combinação certa para modelos mais velhos ainda é brincadeira de criança.
Exploração de vulnerabilidades
As vulnerabilidades do roteador são buracos em seu gateway para a Internet através dos quais todos os tipos de ameaças podem entrar diretamente em sua rede doméstica ou corporativa – ou talvez apenas no próprio roteador, onde a detecção é menos provável. O botnet Mēris mencionado acima faz exatamente isso, explorando vulnerabilidades não corrigidas em roteadores MikroTik.
De acordo com nossa pesquisa, várias centenas de novas vulnerabilidades foram descobertas em roteadores apenas nos últimos dois anos. Para proteger os pontos fracos, os fornecedores de roteadores lançam patches e novas versões de firmware (essencialmente atualizações do sistema operacional dos roteadores). Infelizmente, muitos usuários simplesmente não percebem que o software do roteador precisa ser atualizado, assim como outros programas.
Como proteger sua rede?
Se você deseja proteger seu roteador doméstico ou corporativo e manter seus dados seguros:
- Pelo menos uma vez por mês, verifique o site do fabricante para obter as atualizações mais recentes do firmware do roteador. Instale-os assim que estiverem disponíveis. Para alguns modelos, os patches chegam automaticamente, mas às vezes você precisa instalá-los manualmente. Informações sobre a atualização do software do seu dispositivo também podem ser encontradas no site do fornecedor.
- Crie uma senha de administrador forte e extensa para seu roteador. E, para não esquecer a combinação, use um gerenciador de senhas.
- Se você for habilidoso o suficiente ou encontrar instruções (no site do mesmo fornecedor, por exemplo), desative o acesso remoto às configurações de administração do roteador.
- Configure o Wi-Fi corretamente: pense em uma senha exclusiva, use um padrão de criptografia sem fio forte e configure redes de convidados para que as visitas e os vizinhos descuidados (ou mal intencionados) não espalhem malware em sua rede a partir de seus dispositivos infectados.
- Use um app de VPN que vai criptografar todas as informações de saída antes de passá-las para o roteador, mantendo-as protegidas contra cibercriminosos, mesmo que tenham infectado o dispositivo.