Gli analisti dei Black Lotus Labs di Lumen hanno identificato una minaccia informatica di proporzioni significative: una nuova variante del malware TheMoon ha infettato oltre 40.000 dispositivi in 88 Paesi diversi. Questo attacco ha messo in luce la vulnerabilità diffusa dei router e la crescente sofisticazione delle minacce informatiche che colpiscono le reti domestiche e gli uffici di piccole dimensioni.
L’attacco è stato scoperto quando gli analisti hanno notato un repentino aumento delle infezioni, con oltre 6.000 router compromessi in soli 72 ore. Questa variante di TheMoon si diffonde da router a router, sfruttando le vulnerabilità presenti nei dispositivi non aggiornati.
TheMoon aggira l’autenticazione del router senza la necessità di conoscere le password di amministratore effettive. Una volta infettato, il dispositivo inizia a generare un traffico anomalo sulle porte 80 e 8080, causando congestionamento e rallentamento della connessione Internet.
Gli esperti consigliano una serie di azioni preventive per prevenire tali infezioni, tra cui l’aggiornamento regolare del firmware del router, l’adozione di password robuste e l’uso di software antivirus efficaci.
TheMoon, che ha fatto la sua prima comparsa nel 2014, sfrutta anche il servizio proxy Faceless per aumentare le proprie capacità. Inoltre, altre operazioni di malware, come SolarMarker e IcedID, stanno utilizzando la botnet per mascherare le loro attività online.
Sebbene non sia chiaro come esattamente i router siano stati compromessi, è probabile che gli aggressori abbiano sfruttato le vulnerabilità conosciute nel firmware non aggiornato o abbiano tentato attacchi di forza bruta per indovinare le credenziali dell’amministratore.