ILOBleed Rootkit richt zich op Hewlett-Packard-servers

In de laatste dagen van 2021 hebben malware-onderzoekers nog een andere Windows-bedreiging geïdentificeerd. Het lijkt echter niet compatibel te zijn en richt zich in plaats daarvan op één bepaalde set systemen: HP-apparaten met de Integrated Lights-Out (iLO) serverbeheertechnologie. Vandaar de naam van het implantaat, de iLOBleed Rootkit.

Rootkits zijn een soort malware die gespecialiseerd zijn in het verlenen van bevoorrechte toegang tot het aangetaste apparaat op lange termijn aan hun operators. Bovendien zijn ze extra moeilijk te identificeren en te verwijderen vanwege hun vermogen om hun componenten te verbergen in firmware, stuurprogramma's en zelfs componenten van het besturingssysteem. De situatie met de iLOBleed Rootkit is niet anders: hij kan de Integrated Lights-Out-firmware op HP-apparaten kapen.

iLOBleed zet wissers in op geïnfecteerde systemen

Vaak wordt rootkit gebruikt voor spionage, maar de auteurs van de iLOBleed Rootkit lijken andere plannen te hebben. Hoewel het implantaat hen in staat stelt een breed scala aan taken uit te voeren op gecompromitteerde servers, kiezen de criminelen ervoor om de gegevens van hun slachtoffers te wissen. Het is niet duidelijk wat voor soort wiper ze gebruiken en of het een eerder bekende malwarefamilie is of een op maat gemaakt script. Ongeacht hun aanpak is het duidelijk dat de iLOBleed Rootkit een verwoestende aanval kan uitvoeren.

De eerste varianten van de iLOBleed Rootkit zijn in de zomer van 2020 gecompileerd, maar de payload heeft sindsdien flinke updates ondergaan. Er is geen informatie over het leveringsmechanisme dat de criminelen gebruiken en hoe de rootkit op bedrijfsservers wordt geplant. Natuurlijk moeten netwerkbeheerders preventief de beveiliging van de systemen verbeteren.