ไมโครซอฟท์ออกรายงานถึงมัลแวร์ Trickbot ที่เป็นต้นทางการแฮกสู่บริการอื่นๆ เช่น มัลแวร์เรียกค่าไถ่, การวางโปรแกรมขุดเงินคริปโต, หรือการให้กลุ่มแฮกเกอร์อื่นเข้ายึดเครื่องของเหยื่อ (access-as-a-service) โดยกลุ่ม Trickbot นี้ดำเนินการมาได้นานตั้งแต่ปี 2016 มีแนวทางสำคัญคือการแฮกอุปกรณ์ IoT หรือเราท์เตอร์ เพื่อเป็นฐานในการไปแฮกเป้าหมายที่แท้จริงอีกที

อุปกรณ์กลุ่มหนึ่งที่ Trickbot ใช้งานเยอะคือเราท์เตอร์ MikroTik ที่เปิดพอร์ตออกอินเทอร์เน็ต แต่ดูแลความปลอดภัยหละหลวม ทั้งการใช้รหัสผ่านเริ่มต้นจากผู้ผลิต, ปล่อยให้แฮกเกอร์ทดสอบรหัสผ่าน, หรือใช้เฟิร์มแวร์เวอร์ชั่นเก่าที่มีช่องโหว่ แม้ตัวเราท์เตอร์จะใช้งานได้ดีต่อไป แต่จริงๆ แล้วกลับถูกเพิ่มกฎไฟร์วอลล์เพื่อส่งต่อทราฟิกเพื่อแฮกเหยื่อของ Trickbot ไปแล้ว

ไมโครซอฟท์จึงออกโปรแกรม RouterOS Scanner ให้เจ้าของเราท์เตอร์เข้าตรวจสอบว่ามีความเสี่ยงถูกแฮก หรือกระทั่งถูกแฮกไปแล้วหรือไม่ โดยสิ่งที่ตรวจสอบได้แก่ เวอร์ชั่นเฟิร์มแวร์, คำสั่งตั้งเวลาล่วงหน้า, กฎไฟร์วอลล์สำหรับส่งต่อทราฟิก, DNS ว่าถูก cache poisoning หรือไม่, การใช้พอร์ตผิดปกติ, รายการผู้ใช้ในระบบ, ไฟล์ผิดปกติ, และพรอกซี่ต่างๆ

ที่มา - Microsoft