Kwetsbare routers van fabrikant DrayTek zijn op grote schaal gebruikt voor het uitvoeren van ransomware-aanvallen, zo claimt securitybedrijf Forescout. Voor het compromitteren van de routers zou mogelijk gebruik zijn gemaakt van een kwetsbaarheid waar op het moment van de aanval geen update voor beschikbaar was.

Bij de aanval richten aanvallers zich als eerste op kwetsbare DrayTek-routers, die ze via een onbekende kwetsbaarheid weten te compromitteren. Vervolgens worden 'versleutelde credentials' uit het geheugen van de router verzameld. Die werden dan gekraakt, waarna de plaintext versies werden gebruikt om het achterliggende netwerk te compromitteren en ransomware uit te rollen.

De afgelopen jaren zijn tal van kwetsbaarheden in DrayTek-routers gevonden, die aanwezig waren in de “mainfunction.cgi” pagina. Deze functionaliteit is in nieuwere modellen verwijderd, maar nog wel aanwezig in routers die 'end-of-sale' zijn. Onlangs werden 22 nieuwe kwetsbaarheden met betrekking tot mainfunction.cgi gerapporteerd. De onderzoekers vermoeden dat bij de waargenomen aanvallen gebruik is gemaakt van één van deze kwetsbaarheden.

Tevens stelt Forescout dat veel van deze 22 kwetsbaarheden dezelfde oorzaak hebben als een beveiligingslek uit 2020. De laatste firmware voor de end-of-sale routers dateert van maart. Het is de vraag wanneer de nieuw gevonden beveiligingslekken worden verholpen, vraagt het securitybedrijf zich af.