Icona di un router Wi-Fi con un lucchetto rosso e una richiesta di riscatto in bitcoin su uno schermo

Il gruppo di cybersecurity Kaspersky ha individuato una nuova e pericolosa variante di ransomware, denominata "RouterLocker", che invece di colpire PC o smartphone prende di mira router, modem e dispositivi IoT domestici. Il malware sfrutta vulnerabilità note nei firmware per crittografare le configurazioni di rete, bloccando l'accesso a internet e chiedendo un riscatto tra i 200 e i 500 dollari in Bitcoin. Sono già state segnalate migliaia di infezioni in Europa e Nord America. LEGGI TUTTO L'ARTICOLO

Come funziona l'infezione e la propagazione
RouterLocker si diffonde sfruttando password deboli (admin/admin) e vulnerabilità non patchate in firmware di router di marche comuni come TP-Link, Asus, Netgear e D-Link. Una volta ottenuto l'accesso, modifica il server DNS del dispositivo per reindirizzare il traffico verso siti malevoli, quindi procede a crittografare il file di configurazione del router utilizzando l'algoritmo AES-256. Dopo il riavvio, il dispositivo diventa inutilizzabile e sulla pagina di login appare un messaggio di riscatto con un timer countdown. Il malware si propaga anche attraverso dispositivi IoT compromessi nella stessa rete.

Conseguenze per l'utente e difficoltà di ripristino
L'utente si trova completamente offline: nessun accesso a internet, reti locali bloccate, dispositivi smart non funzionanti. Il ripristino delle impostazioni di fabbrica (tasto reset) spesso non basta, perché il malware può sopravvivere in partizioni protette. In molti casi è necessario re-flashare manualmente il firmware tramite cavo seriale, un'operazione complessa per l'utente medio. Gli esperti sconsigliano di pagare il riscatto, poiché non vi è garanzia di ricevere la chiave di decrittazione e si finanziano le attività criminali.

Dispositivi più a rischio e come proteggersi
I modelli più vulnerabili sono quelli con firmware non aggiornato da oltre un anno, soprattutto se esposti alla rete WAN con servizi di gestione remota attivi. Per proteggersi, è fondamentale: cambiare le credenziali di default admin/password, disabilitare l'accesso amministrativo da WAN, aggiornare il firmware alla versione più recente, e disattivare funzioni non necessarie come UPnP. L'uso di router con supporto automatico agli aggiornamenti (come Google Nest Wifi o alcune mesh) riduce il rischio. Un firewall di rete aggiuntivo può bloccare tentativi di accesso sospetti.

Raccomandazioni in caso di infezione
Se il router è infetto, gli esperti consigliano: scollegarlo immediatamente dalla rete, resettarlo alle impostazioni di fabbrica seguendo le istruzioni del produttore, e reinstallare il firmware tramite il tool ufficiale da un PC collegato via cavo Ethernet. Successivamente, cambiare tutte le password di rete e degli account online utilizzati mentre il router era compromesso. Contattare il proprio ISP per assistenza; alcuni fornitori stanno rilasciando patch specifiche. Segnalare l'attacco alle autorità (Polizia Postale in Italia).

Il trend allarmante della criminalità informatica sull'IoT
RouterLocker rappresenta un'evoluzione pericolosa del ransomware, che si sposta da dati personali a infrastrutture critiche domestiche. Il basso livello di sicurezza di molti dispositivi di rete li rende facili obiettivi. Gli esperti prevedono un aumento di tali attacchi, possibilmente combinati con cryptojacking o spionaggio. I produttori sono chiamati a responsabilizzarsi, garantendo aggiornamenti di sicurezza per tutta la vita utile del prodotto e configurazioni sicure di default.

L'emergere di RouterLocker è un campanello d'allarme per la sicurezza delle nostre case connesse. Dimostra che la superficie di attacco si sta ampliando oltre i tradizionali computer, rendendo ogni dispositivo di rete un potenziale punto di ingresso. La difesa richiede un cambio di mentalità: il router non è un apparecchio da installare e dimenticare, ma un componente cruciale che necessita di manutenzione e attenzione continua, proprio come il sistema operativo del nostro PC.