Mandiant kreeg vorige week na bekendmaking van de aanvankelijke hack hulp van de vrijwilligersorganisatie Shadowserver Foundation. Zij scanden in opdracht van de beveiliger het internet op meer infecties en wat bleek: 199 routers in 31 landen zijn geïnfecteerd. De Verenigde Staten is met 65 verdachte routers koploper.

In Nederland zijn geen Cisco-routers met malware aangetroffen. In Europa is alleen Polen besmet geraakt; daar zijn 9 verdachte IP-adressen gesignaleerd. De bewuste beheerders van de domeinen zijn inmiddels op de hoogte gesteld. "De getroffen routers moeten zo snel mogelijk worden gemerkt en behandeld", schrijft Mandiant in een blogpost.

Grote gevolgen

SYNful Knock besmet Cisco routers met typenummers 1841, 2811 en 3825, bedoeld voor grote bedrijven en internetserviceproviders. Deze worden niet meer door de leverancier verkocht. Het is goed mogelijk dat de malware netwerkverkeer heeft afgeluisterd, gebruikers naar kwaadwillende sites heeft doorverwezen en malware op bedrijfsnetwerken heeft verspreid.

De bewuste locaties met het aantal besmettingen: