La variante della botnet Mirai sfrutta la falla del router Four-Faith per scatenare attacchi DDoS

In un duro promemoria dei crescenti pericoli posti dalle botnet, una nuova variante di Mirai sta sfruttando le vulnerabilità nei router industriali Four-Faith dall'inizio di novembre 2024. Questa ultima botnet, soprannominata "gayfemboy" (un termine derivato dai suoi riferimenti offensivi al codice sorgente), evidenzia la minaccia persistente degli attacchi DDoS (distributed denial-of-service) e sottolinea la necessità di solide difese di sicurezza informatica.

Con 15.000 IP attivi al giorno distribuiti in regioni come Cina, Iran, Russia, Turchia e Stati Uniti, questa botnet ha raggiunto proporzioni devastanti. La sua capacità di sfruttare sia le vulnerabilità zero-day sia una lunga lista di oltre 20 falle di sicurezza note è un campanello d'allarme per le aziende e gli utenti individuali.

Vulnerabilità sfruttata: CVE-2024-12856

Al centro della recente campagna della botnet c'è CVE-2024-12856, una vulnerabilità di iniezione di comandi che colpisce i modelli di router Four-Faith F3x24 e F3x36. La falla, che ha un punteggio CVSS di 7,2, consente agli aggressori di sfruttare i router configurati con credenziali predefinite invariate.

Dalla sua scoperta nel novembre 2024, questa vulnerabilità è stata sfruttata attivamente per distribuire payload dannosi, tra cui reverse shell e una variante di malware basata su Mirai. Prendendo di mira router di livello industriale, gli aggressori possono sfruttare dispositivi altamente connessi , amplificando la portata e l'efficacia della loro botnet.

Una strategia di attacco su più fronti

La variante Mirai impiega una combinazione di tattiche per infettare i dispositivi e massimizzare il suo impatto:

  1. Accesso iniziale tramite credenziali deboli
    La botnet esegue la scansione dei dispositivi con credenziali Telnet deboli o impostazioni predefinite di fabbrica, una comune svista di sicurezza in molti sistemi IoT e industriali.
  2. Sfruttare un lungo elenco di vulnerabilità
    Oltre a CVE-2024-12856, la botnet sfrutta oltre 20 vulnerabilità aggiuntive, tra cui difetti risalenti al 2013, come:
    • CVE-2013-3307
    • CVE-2016-20016
    • CVE-2021-35394
  3. Capacità del malware basato su Mirai
    Una volta distribuito, il malware adotta tecniche per:
    • Nascondi i processi dannosi.
    • Eseguire comandi per individuare nuovi dispositivi vulnerabili.
    • Aggiornare costantemente il payload del malware.
    • Lanciare attacchi DDoS mirati.

La portata e l’impatto degli attacchi

La botnet ha orchestrato attacchi DDoS giornalieri su centinaia di obiettivi, raggiungendo picchi di larghezza di banda di 100 Gbps. Sebbene questi attacchi spesso durino solo 10-30 secondi, l'improvviso afflusso di traffico può sopraffare i server, interrompere i servizi e infliggere danni significativi.

In particolare, tra ottobre e novembre 2024 si è registrato un aumento dell'attività delle botnet, con il malware che ha scansionato in modo aggressivo i dispositivi e li ha compromessi.

La minaccia più ampia delle botnet

Questa ultima variante di Mirai fa parte di una tendenza più ampia di criminali informatici che sfruttano le vulnerabilità nell'IoT e nei dispositivi industriali per costruire botnet . Campagne simili includono:

  • Avviso Juniper Networks : malintenzionati prendono di mira i prodotti Session Smart Router (SSR) con password predefinite per diffondere il malware Mirai.
  • Rapporto Akamai : le infezioni Mirai sfruttano le falle nell'esecuzione di codice remoto nei DVR DigiEver.

Questi incidenti riflettono una realtà preoccupante: finché i dispositivi rimangono mal configurati o privi di patch, gli aggressori continueranno a sfruttarli per ampliare i loro eserciti di botnet.

Come proteggersi dalle botnet Mirai e dagli attacchi DDoS

Data la minaccia persistente e in continua evoluzione delle botnet basate su Mirai, è fondamentale che le organizzazioni e gli utenti adottino misure di sicurezza complete:

  1. Cambia le credenziali predefinite
    Sostituisci le password predefinite di fabbrica su tutti i dispositivi con credenziali univoche e complesse.
  2. Applicare patch e aggiornamenti regolari ai dispositivi
    Mantenere aggiornati il firmware e il software del router per mitigare vulnerabilità note come CVE-2024-12856.
  3. Implementare la segmentazione della rete
    Isolare i dispositivi IoT e industriali dalle reti critiche per limitare i movimenti laterali.
  4. Monitorare il traffico insolito
    Utilizzare sistemi di rilevamento delle intrusioni (IDS) e strumenti di monitoraggio basati sulle anomalie per rilevare modelli di traffico insoliti, indicativi di attività DDoS.
  5. Distribuisci soluzioni anti-DDoS
    La protezione DDoS basata sul cloud è in grado di assorbire e mitigare gli attacchi a banda larga prima che raggiungano la rete.
  6. Limitare Telnet e accesso remoto
    Disattivare l'accesso Telnet e limitare le interfacce di gestione remota solo agli IP attendibili.

Le minacce DDoS si stanno evolvendo

L'ultima variante della botnet Mirai è più di un semplice ceppo di malware: è un presagio della crescente sofisticatezza delle minacce DDoS. Sfruttando le vulnerabilità nei router industriali e nei dispositivi IoT, gli aggressori stanno creando botnet con maggiore portata e potenziale distruttivo.

Per restare al passo con queste minacce, le organizzazioni e gli individui devono rimanere vigili, proteggere i propri dispositivi e adottare pratiche di sicurezza informatica proattive. Come dimostra questa campagna, anche vulnerabilità apparentemente minori possono avere un impatto enorme se non affrontate.

Entro il Zane
January 10, 2025
Computer Security
Italiano
January 10, 2025
Computer Security

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.