EwDoor Botnet fokuserer på DDoS-angrep

EwDoor Botnet er et relativt nytt prosjekt, som ser ut til å være aktivt i USA. Selv om prosjektet ser ut til å ha vært online i bare noen få måneder, utnytter skaperne av en veldig gammel sårbarhet. Spørsmålet det gjelder gjelder AT&T-enheter for bedriftsnettverk, og det har vært offentlig i over fire år. Selvfølgelig sørger de nyeste programvareoppdateringene for å fikse dette sikkerhetsproblemet – men mange enheter kjører utdatert og sårbar fastvare.

Det eksakte utvalget av enheter som EwDoor Botnet-operatørene sikter mot, er de som tilhører EdgeMarc Enterprise Session Border Controller (ESBC.) Dessverre ser det ut til at aktiviteten til dette botnettet tar fart – over 6000 nylig kompromitterte enheter ble identifisert på bare noen få timer.

EwDoor Botnet har bakdørs- og DDoS-funksjoner

Alle infiserte enheter kan motta kommandoer fra angriperens kommando-og-kontroll-server. Implantatet til EwDoor Botnet har grunnleggende bakdørsegenskaper, som gjør det mulig for angripere å utføre eksterne kommandoer, administrere filer og mer. Hovedformålet med botnettet ser ut til å være å utføre DDoS-angrep (distributed-denial-of-service) mot utvalgte nettsteder og nettjenester.

På grunn av EwDoor Botnets unge alder er det fortsatt umulig å si om operatørene har større planer for kampanjen. Dette er et av de mange botnettene som utnytter utdaterte sårbarheter ved å målrette mot enheter som kjører eldre programvare. Kampanjer som EwDoor Botnet er en viktig påminnelse om hvorfor alle enheter og maskinvare som er eksponert for Internett, må være riktig sikret – ved å bruke oppdatert firmware og sikker påloggingsinformasjon.