En ny botnet-trussel er blevet afsløret, hvor sårbare routere udnyttes. Cybersikkerhedsfirmaet Cato Networks har navngivet netværket Ballista.
Et botnet består af enheder, der er blevet kapret via software og bruges af en hacker til ondsindede formål. Disse enheder danner tilsammen en 'hær', som kan bruges til angreb som f.eks. DDoS-angreb (Distributed Denial of Service).
I januar blev Ballista opdaget, og den angriber TP-Link Archer-routere via en sårbarhed, der allerede blev udnyttet i april 2023. Dette viser, hvor dårligt mange ejere af routere beskytter deres enheder, da en opdatering til at lukke sikkerhedshullet har været tilgængelig i to år.
Ballista spreder sig automatisk via sårbarheden og tager kontrol over offerets router med malware. Skadelig software forsøger desuden at stjæle følsomme oplysninger fra brugeren.
TP-Link-routere, herunder Archer-serien, sælges i stor stil i Danmark og resten af Europa. De åbne routere, der er sårbare over for Ballista, ser dog primært ud til at befinde sig i andre lande som Brasilien, Polen, Storbritannien, Bulgarien, Tyrkiet og Spanien. Dette kan dog ændre sig.
Indtil videre er omkring 6.000 sårbare enheder blevet identificeret. De nærmeste fund i forhold til Danmark er i Norge, hvor tre sårbare routere er blevet opdaget. Botnettet har forsøgt at angribe industrier som produktionsvirksomheder, sundhedssektoren samt teknologi- og servicevirksomheder i USA, Australien, Kina og Mexico.
Hvordan beskytter du dig mod Ballista?
Cato Networks mener, at Ballista stammer fra Italien. De påpeger, at mange tidligere botnet, såsom det berygtede Mirai, har vist, hvor let mange routere kan kapres.
Da mange brugere forsømmer at opdatere deres routere, og mange producenter ikke prioriterer sikkerhed højt nok, opstår der vedvarende sårbarheder.
For at beskytte dig selv bør du følge disse trin:
1. Fjern muligheden for fjernstyring af routeren
Hvis din router har aktiveret remote access (fjernadgang), kan en hacker, der får adgang, ændre indstillingerne eksternt. Det anbefales derfor at slå denne funktion fra.
2. Skift routerens standardadgangskode
Routere leveres ofte med standardlogins, hvilket udgør en stor sikkerhedsrisiko. Du bør derfor ændre loginoplysningerne til en stærkere adgangskode. Mange nyere routere leveres dog med unikke adgangskoder fra fabrikken - denne findes typisk på en etiket under enheden.
3. Hold din router opdateret
At holde din router opdateret er afgørende. Opdateringer lukker sikkerhedshuller, som hackere kan udnytte. Nogle routere opdateres automatisk, mens andre kræver manuel opdatering - tjek derfor din routers brugervejledning.
Sådan opdaterer du TP-Link-routere
De fleste TP-Link-routere opdateres via routerens kontrolpanel. For at få adgang til dette, skal du bruge en enhed, der er forbundet til routerens netværk.
Åbn din browser og skriv http://tplinkwifi.net i adresselinjen.
Log ind med dit TP-Link ID eller den adgangskode, du har oprettet.
I det engelske kontrolpanel finder du opdateringsmuligheden under: Advanced > System > Firmware Upgrade.
Hvis der er mulighed for automatisk opdatering, anbefales det at aktivere denne funktion.
Hvis du har fået din router fra din internetudbyder, behøver du som regel ikke at foretage opdateringer manuelt. Dog bør du kontakte din udbyder for at sikre dig, at din router stadig modtager sikkerhedsopdateringer, og for at få oplyst, hvor længe den vil være understøttet.
