Attenzione! La botnet Mirai è attiva, così come la sua dozzina di altre varianti

La botnet Mirai è stata una costante minaccia alla sicurezza IoT sin dalla sua comparsa nel 2016. In un recente rapporto di McAfee, il malware e le sue numerose varianti sono state attribuite all’aumento degli attacchi ai sistemi IoT (55%) e Linux (38%). nel primo trimestre del 2021.  

Purtroppo, le varianti continuano a crescere

  • Sin dal rilascio del codice sorgente da parte degli autori di Mirai, gli attori delle minacce hanno scatenato molti attacchi creando i propri tipi di eserciti di botnet IoT.
  • Sebbene nuove funzionalità ed exploit siano stati costantemente aggiunti da vari attori delle minacce, la struttura e l’obiettivo delle campagne rimangono gli stessi.

Mirai non è da sottovalutare

  • I ricercatori di Fortinet si sono imbattuti in molti aspetti interessanti durante il monitoraggio delle attività delle botnet IoT.
  • È stato scoperto che un nuovo sistema honeypot utilizzato allo scopo riceveva circa 200 attacchi al giorno, per un totale di quasi 4.700 attacchi in sole tre settimane.
  • Circa 4.000 di questi attacchi erano collegati alle varianti Mirai.
  • In base agli attacchi, le varianti principali utilizzate erano Hajime, SYLVEON, Kyton, PEDO, DNXFCOW, SORA, Cult, BOTNET, OWARI ed Ecchi.
  • Oltre all’honeypot, i ricercatori hanno anche scoperto MANGA, una variante di Mirai, che aggiorna attivamente i vettori di exploit alla sua lista.
  • Alcuni degli exploit riguardano le vulnerabilità riscontrate in OptiLink ONT1GEW GPON, Cisco HyperFlex e router Tenda.

Alcuni punti chiave

  • Secondo AT&T Alien Labs, c’è stato un picco di attività da un’altra variante di Mirai, Moobot.
  • Si scopre che è stato espulso da un nuovo dominio di malware cyber-underground, noto come Cyberium, che ha ancorato una grande quantità di attività di varianti Mirai.
  • I ricercatori hanno osservato che Moobot sta attivamente cercando una vulnerabilità di esecuzione di codice remoto nei router Tenda.
  • Una delle caratteristiche principali di Moobot è una stringa hardcoded che viene utilizzata più volte nel codice, ad esempio la generazione del nome del processo da utilizzare durante l’esecuzione.

Conclusioni

Poiché il numero di dispositivi intelligenti continua a crescere, l’IoT rimarrà un focolaio per le operazioni di malware in futuro. Apparentemente, lo stato attivo delle varianti Mirai in termini di attacchi e sviluppi lo rende più preoccupante. Inoltre, sottolinea ancora una volta la necessità per i produttori di dispositivi IoT di correggere le vulnerabilità in modo tempestivo e seguire gli standard di sicurezza IoT adeguati.