Kortingsaanbieding voor meerdere licenties
Computerbeveiliging Mirai Botnet-spin-offs veroorzaken wereldwijde golf van...

Mirai Botnet-spin-offs veroorzaken wereldwijde golf van DDoS-aanvallen

Tegen Mura in Computerbeveiliging
Vertalen naar:
Nederlands

Twee Mirai botnet spin-offs hebben wereldwijd agressieve distributed denial-of-service (DDoS) campagnes gelanceerd, gericht op kwetsbaarheden in Internet of Things (IoT) apparaten en gebruikmakend van zwakke credentials. De campagnes benadrukken de aanhoudende dreiging van Mirai-gebaseerde malware, die bijna tien jaar na zijn beruchte debuut nog steeds een krachtig cyberwapen is.

De evolutie van Mirai: een aanhoudende bedreiging voor de beveiliging van het IoT

Het Mirai-botnet is al lang een symbool van de kwetsbaarheden die inherent zijn aan IoT-apparaten. Sinds de broncode in 2016 uitlekte, heeft Mirai talloze varianten geïnspireerd, die elk voortbouwen op de verwoestende mogelijkheden van de oorspronkelijke malware. Er zijn onlangs twee afzonderlijke campagnes ontstaan, waarbij gebruik wordt gemaakt van Mirai-afgeleide malware om IoT-apparaten te compromitteren en wereldwijde DDoS-aanvallen te lanceren.

Campagne 1: Het Murdoc-botnet

Een van de actieve campagnes, genaamd Murdoc Botnet, levert Mirai-malware om specifieke kwetsbaarheden in IoT-apparaten zoals Avtech-camera's en Huawei HG532-routers te exploiteren. Volgens onderzoekers bij Qualys maakt het botnet gebruik van bekende exploits, waaronder:

  • CVE-2024-7029 : Een kwetsbaarheid in Avtech-camera's waardoor authenticatie kan worden omzeild, waardoor aanvallers op afstand opdrachten kunnen invoeren.
  • CVE-2017-17215 : een RCE-fout (remote code execution) in Huawei-routers.

Het Murdoc-botnet begon in juli 2024 met zijn activiteiten en heeft sindsdien meer dan 1.300 IP's gecompromitteerd, voornamelijk in Maleisië, Thailand, Mexico en Indonesië. Onderzoekers ontdekten meer dan 100 verschillende serversets die aan het botnet waren gekoppeld, elk belast met het beheren van geïnfecteerde apparaten en het coördineren van verdere aanvallen.

De malware infiltreert apparaten via ELF- en shellscriptbestanden, die vervolgens worden gebruikt om Mirai-malwarevarianten te installeren. Deze geïnfecteerde apparaten worden als wapen gebruikt om deel te nemen aan uitgebreide DDoS-aanvallen, waardoor een formidabel wereldwijd botnetnetwerk ontstaat.

Campagne 2: Hybride malware gericht op wereldwijde organisaties

Een tweede campagne, die gebruikmaakt van malware afkomstig van zowel Mirai als Bashlite, heeft organisaties in Noord-Amerika, Europa en Azië aangevallen. Trend Micro-onderzoekers identificeerden grootschalige DDoS-aanvallen die aanvankelijk Japanse bedrijven en banken troffen voordat ze zich wereldwijd verspreidden.

Aanvalsvectoren en doelgerichte apparaten

De aanvallers richtten zich op het uitbuiten van beveiligingslekken en zwakke inloggegevens in veelgebruikte IoT-apparaten, zoals:

  • TP-Link-routers
  • Zyxel-routers
  • Hikvision IP-camera's

De malware maakte gebruik van kwetsbaarheden voor uitvoering van externe code en zwakke wachtwoorden om toegang te krijgen, en downloadde vervolgens scripts om de apparaten te compromitteren. Deze wereldwijde operatie heeft twee primaire typen DDoS-aanvallen gebruikt:

  1. Netwerkoverbelastingsaanvallen : netwerken overspoelen met enorme datapakketten waardoor de bandbreedte wordt overbelast.
  2. Aanvallen waarbij de bronnen van de server uitgeput raken : het creëren van talrijke sessies om de bronnen van de server uit te putten.

In sommige gevallen combineerden aanvallers beide methoden om de schade te maximaliseren, wat leidde tot aanzienlijke verstoringen in de getroffen regio's.

Defensieve maatregelen: de impact van Mirai-botnets beperken

De heropleving van Mirai-gebaseerde campagnes onderstreept de noodzaak voor organisaties om hun verdediging tegen DDoS-aanvallen te versterken. Onderzoekers bij Qualys en Trend Micro hebben kritische aanbevelingen gedaan om deze bedreigingen te bestrijden.

Algemene best practices

  1. Controleer op verdachte activiteiten : controleer processen, gebeurtenissen en netwerkverkeer regelmatig op tekenen van inbreuk.
  2. Vermijd onbetrouwbare bronnen : voer geen shell-scripts of binaire bestanden uit van onbekende bronnen.
  3. Maak IoT-apparaten veiliger : zorg dat apparaten zijn bijgewerkt met de nieuwste firmware en sterke, unieke wachtwoorden hebben.

Het verminderen van netwerkoverbelastingsaanvallen

  • Gebruik firewalls of routers om kwaadaardige IP-adressen te blokkeren en ongewenst verkeer te beperken.
  • Werk samen met internetproviders om DDoS-verkeer aan de rand van het netwerk te filteren.
  • Upgrade de routerhardware om grotere pakketvolumes te verwerken.

Het verminderen van aanvallen op het gebied van uitputting van hulpbronnen

  • Voer tariefbeperking in om het aantal verzoeken van specifieke IP-adressen te beperken.
  • Gebruik DDoS-beschermingsservices van derden om schadelijk verkeer te filteren.
  • Controleer verbindingen continu in realtime en blokkeer IP's met overmatige activiteit.

De blijvende erfenis van Mirai

Deze laatste Mirai-botnetcampagnes dienen als een duidelijke herinnering aan de risico's die onbeschermde IoT-apparaten met zich meebrengen. Terwijl aanvallers hun tactieken blijven verfijnen en IoT-kwetsbaarheden benutten, moeten organisaties waakzaam, proactief en voorbereid blijven om de risico's van DDoS-aanvallen te beperken. Door robuuste beveiligingsmaatregelen te nemen en samenwerking tussen belanghebbenden in cybersecurity te bevorderen, kunnen we de impact van deze aanhoudende bedreigingen verminderen.

Bezig met laden...