image

Interpol laat 15.000 besmette MikroTik-routers opschonen

woensdag 8 januari 2020, 14:02 door Redactie, 4 reacties

Tijdens een door Interpol geleide operatie zijn ruim 15.000 met malware besmette MikroTik-routers in Zuidoost-Azië opgeschoond. Eigenaren van de routers hadden beschikbare beveiligingsupdates niet geïnstalleerd, waardoor criminelen de apparaten met een cryptominer konden infecteren.

De cryptominer liet de routers vervolgens naar cryptovaluta delven. Tijdens een vijf maanden durende operatie ontdekten Interpol, politiediensten en Computer Emergency Response Teams (CERTs) meer dan 20.000 besmette routers in de regio. De partijen die aan de operatie deelnamen waarschuwden de slachtoffers en patchten de routers, zodat criminelen er geen toegang meer toe hadden, aldus Interpol.

Na afloop van de operatie was het aantal besmette machines met 78 procent afgenomen, wat neerkomt op 15.600 routers. Wereldwijd zijn er volgens Interpol ruim 110.000 besmette MikroTik-routers actief. Eind 2018 werd bekend dat meer dan 200.000 MikroTik-routers met een cryptominer waren besmet. Dat gebeurde via een kwetsbaarheid waar op 23 april 2018 een update voor verscheen.

Reacties (4)
08-01-2020, 15:41 door Anoniem
Eigenaren van de routers hadden beschikbare beveiligingsupdates niet geïnstalleerd
EN ze hadden de standaard aanwezige firewall buiten gebruik gesteld, bijvoobeeld doordat ze PPPoE geconfigureerd
hadden aan de hand van een fourtieve handleiding op Youtube ipv op de goede manier...
09-01-2020, 00:17 door Anoniem
Voorbeeld en niet alleen in Z.O.-Azië, maar ook in Zuid-Amerika:
https://viz.greynoise.io/ip/45.173.224.22
en https://www.shodan.io/host/45.173.224.22
Firmware 1 vendor: Mikrotik.

Netcraft risico gradatie: 10 rood op een schaal van 10:
https://toolbar.netcraft.com/site_report?url=45-173-224-22.saoluiznet.com.br

100% onveilig - Ten minste zeven partijen weten dat u deze website bezoekt.

jsuol.com.br jsuol.com.br
me.jsuol.com.br
imguol.com.br
imguol.com
Marketo
host.imguol.com
stc.uol.com

#sockpuppet
09-01-2020, 14:06 door Anoniem
Wie kan me aan de patch helpen die deze problemen verhelpt? Weet iemand hoe je dit kan onderzoeken of je router is besmet of niet?
09-01-2020, 15:17 door Anoniem
Door Anoniem: Wie kan me aan de patch helpen die deze problemen verhelpt? Weet iemand hoe je dit kan onderzoeken of je router is besmet of niet?
Als je de router nooit update en je hebt externe toegang tot de beheer interface zelf opengezet of je firewall doet helemaal niks doordat je deze al heel lang geleden hebt ingesteld op defaults en daarna zelf bent gaan knutselen met PPPoE dan is het beste om het volgende te doen:
- download de recente versie van netinstall.exe en de recente software (6.46.1) voor je model
- open een terminal sessie en doe een /export file=naam en download daarna de file naam.rsc met FTP of in de GUI)
- gebruik netinstall om je router opnieuw te installeren van 0 af en doe daarna een reset to defaults
- gebruik je /export file als reference om de router weer in te richten naar je wensen, niet die file weer inlezen maar alleen
als aanduiding van "ohja dat wilde ik ook". dus gewoon alles via de gui opnieuw instellen en niet 1:1 overnemen maar
de huidige stand der techniek volgen
Je bent nu weer uptodate en de nieuwe default firewall is beter bestand tegen onkundige handelingen.
Het blijft wel beter als je iets van netwerken snapt als je een dergelijke router gebruikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.