Preventivo sconto multi-licenza
Sicurezza informatica Gli spin-off della botnet Mirai scatenano un'ondata...

Gli spin-off della botnet Mirai scatenano un'ondata globale di attacchi DDoS

Entro Mura nel Sicurezza informatica
Traduci in:
Italiano

Due spin-off della botnet Mirai hanno lanciato aggressive campagne di denial-of-service (DDoS) distribuite in tutto il mondo, prendendo di mira le vulnerabilità nei dispositivi Internet of Things (IoT) e sfruttando credenziali deboli. Le campagne sottolineano la minaccia duratura rappresentata dal malware basato su Mirai, che rimane una potente arma informatica quasi un decennio dopo il suo famigerato debutto.

L'evoluzione di Mirai: una minaccia persistente alla sicurezza dell'IoT

La botnet Mirai è da tempo un simbolo delle vulnerabilità insite nei dispositivi IoT. Da quando il suo codice sorgente è trapelato nel 2016, Mirai ha ispirato innumerevoli varianti, ciascuna basata sulle capacità devastanti del malware originale. Di recente sono emerse due campagne distinte, che sfruttano il malware derivato da Mirai per compromettere i dispositivi IoT e lanciare attacchi DDoS globali.

Campagna 1: La botnet Murdoc

Una delle campagne attive, soprannominata Murdoc Botnet, sta diffondendo il malware Mirai per sfruttare vulnerabilità specifiche nei dispositivi IoT come le telecamere Avtech e i router Huawei HG532. Secondo i ricercatori di Qualys, la botnet utilizza exploit noti, tra cui:

  • CVE-2024-7029 : Vulnerabilità di aggiramento dell'autenticazione nelle telecamere Avtech, che consente agli aggressori di immettere comandi da remoto.
  • CVE-2017-17215 : difetto di esecuzione di codice remoto (RCE) nei router Huawei.

La botnet Murdoc ha iniziato le operazioni a luglio 2024 e da allora ha compromesso oltre 1.300 IP, principalmente in Malesia, Thailandia, Messico e Indonesia. I ricercatori hanno scoperto oltre 100 set di server distinti collegati alla botnet, ognuno incaricato di gestire i dispositivi infetti e coordinare ulteriori attacchi.

Il malware si infiltra nei dispositivi tramite file ELF e shell script, che vengono poi utilizzati per installare varianti del malware Mirai. Questi dispositivi infetti vengono trasformati in armi per partecipare ad attacchi DDoS espansivi, creando una formidabile rete botnet globale.

Campagna 2: Malware ibrido che prende di mira le organizzazioni globali

Una seconda campagna, che sfrutta malware derivati sia da Mirai che da Bashlite, ha preso di mira organizzazioni in Nord America, Europa e Asia. I ricercatori di Trend Micro hanno identificato attacchi DDoS su larga scala che hanno inizialmente avuto un impatto su aziende e banche giapponesi prima di diffondersi a livello globale.

Vettori di attacco e dispositivi mirati

Gli aggressori si sono concentrati sullo sfruttamento delle falle di sicurezza e delle credenziali deboli nei dispositivi IoT più diffusi, come:

  • Router TP-Link
  • Router Zyxel
  • Telecamere IP Hikvision

Il malware sfruttava vulnerabilità di esecuzione di codice remoto e password deboli per ottenere l'accesso, quindi scaricava script per compromettere i dispositivi. Questa operazione globale ha impiegato due tipi principali di attacchi DDoS:

  1. Attacchi da sovraccarico di rete : inondazione delle reti con enormi pacchetti di dati per sopraffare la larghezza di banda.
  2. Attacchi all'esaurimento delle risorse : creazione di numerose sessioni per esaurire le risorse del server.

In alcuni casi, gli aggressori hanno combinato entrambi i metodi per massimizzare i danni, provocando notevoli disagi nelle regioni colpite.

Misure difensive: mitigazione dell'impatto delle botnet Mirai

La rinascita delle campagne basate su Mirai evidenzia la necessità per le organizzazioni di rafforzare le proprie difese contro gli attacchi DDoS. I ricercatori di Qualys e Trend Micro hanno fornito raccomandazioni fondamentali per combattere queste minacce.

Buone pratiche generali

  1. Monitoraggio delle attività sospette : monitorare regolarmente processi, eventi e traffico di rete per individuare eventuali segnali di compromissione.
  2. Evita fonti non attendibili : evita di eseguire script shell o file binari di origine sconosciuta.
  3. Rafforza i dispositivi IoT : assicurati che i dispositivi siano aggiornati con il firmware più recente e che dispongano di password complesse e univoche.

Attenuazione degli attacchi di sovraccarico di rete

  • Utilizzare firewall o router per bloccare gli indirizzi IP dannosi e limitare il traffico indesiderato.
  • Collaborare con i provider di servizi Internet per filtrare il traffico DDoS ai margini della rete.
  • Aggiornare l'hardware del router per gestire volumi di pacchetti maggiori.

Mitigazione degli attacchi all'esaurimento delle risorse

  • Implementare la limitazione della velocità per limitare il numero di richieste da indirizzi IP specifici.
  • Utilizzare servizi di protezione DDoS di terze parti per filtrare il traffico dannoso.
  • Monitora costantemente le connessioni in tempo reale e blocca gli IP con attività eccessiva.

L'eredità persistente di Mirai

Queste ultime campagne di botnet Mirai servono come un duro promemoria dei rischi posti dai dispositivi IoT non protetti. Mentre gli aggressori continuano ad affinare le loro tattiche e a sfruttare le vulnerabilità IoT, le organizzazioni devono rimanere vigili, proattive e preparate a mitigare i rischi degli attacchi DDoS. Adottando misure di sicurezza robuste e promuovendo la collaborazione tra le parti interessate alla sicurezza informatica, possiamo ridurre l'impatto di queste minacce persistenti.

Caricamento in corso...