Wariant botnetu Mirai wykorzystuje lukę w routerze Four-Faith do przeprowadzania ataków DDoS

W jaskrawym przypomnieniu rosnących zagrożeń stwarzanych przez botnety, nowa odmiana Mirai wykorzystuje luki w zabezpieczeniach przemysłowych routerów Four-Faith od początku listopada 2024 r. Ta najnowsza sieć botów, nazwana „gayfemboy” (termin wywodzący się z obraźliwych odniesień do kodu źródłowego), podkreśla stałe zagrożenie atakami typu „odmowa usługi” (DDoS) i podkreśla potrzebę solidnych zabezpieczeń cybernetycznych.

Z 15 000 aktywnych adresów IP dziennie rozproszonych w regionach takich jak Chiny, Iran, Rosja, Turcja i USA, ten botnet osiągnął niszczycielskie rozmiary. Jego zdolność do wykorzystywania zarówno luk zero-day, jak i długiej listy ponad 20 znanych luk w zabezpieczeniach jest sygnałem ostrzegawczym dla przedsiębiorstw i użytkowników indywidualnych.

Wykorzystywana luka: CVE-2024-12856

Sercem niedawnej kampanii botnetu jest luka CVE-2024-12856 umożliwiająca wstrzykiwanie poleceń, która dotyczy modeli routerów Four-Faith F3x24 i F3x36. Luka, która ma wynik CVSS wynoszący 7,2, umożliwia atakującym wykorzystanie routerów skonfigurowanych przy użyciu niezmienionych domyślnych danych uwierzytelniających.

Od momentu odkrycia w listopadzie 2024 r. ta luka była aktywnie wykorzystywana do dostarczania złośliwych ładunków, w tym odwrotnych powłok i wariantu złośliwego oprogramowania opartego na Mirai. Poprzez atakowanie routerów klasy przemysłowej atakujący mogą wykorzystywać wysoce połączone urządzenia , zwiększając zasięg i skuteczność swojego botnetu.

Wielotorowa strategia ataku

Wariant Mirai wykorzystuje kombinację taktyk w celu infekowania urządzeń i maksymalizacji swojego wpływu:

  1. Początkowy dostęp za pomocą słabych poświadczeń
    Botnet skanuje urządzenia w poszukiwaniu słabych danych logowania Telnet lub domyślnych ustawień fabrycznych, co jest częstym zaniedbaniem zabezpieczeń w wielu systemach IoT i przemysłowych.
  2. Wykorzystanie długiej listy luk w zabezpieczeniach
    Oprócz CVE-2024-12856 botnet wykorzystuje ponad 20 dodatkowych luk, w tym błędy sięgające 2013 r., takie jak:
    • CVE-2013-3307
    • CVE-2016-20016
    • CVE-2021-35394
  3. Możliwości złośliwego oprogramowania opartego na Mirai
    Po wdrożeniu złośliwe oprogramowanie wykorzystuje techniki mające na celu:
    • Ukryj złośliwe procesy.
    • Wykonuj polecenia w celu zlokalizowania nowych podatnych na ataki urządzeń.
    • Ciągle aktualizuj swój ładunek złośliwego oprogramowania.
    • Przeprowadź ukierunkowane ataki DDoS.

Skala i wpływ ataków

Botnet zorganizował codzienne ataki DDoS na setki celów, osiągając szczyty przepustowości 100 Gbps. Chociaż ataki te często trwają zaledwie od 10 do 30 sekund, nagły napływ ruchu może przytłoczyć serwery, zakłócić usługi i spowodować znaczne szkody.

Warto zauważyć, że w październiku i listopadzie 2024 r. zaobserwowano wzrost aktywności botnetów, których złośliwe oprogramowanie agresywnie skanowało urządzenia i je naruszało.

Szersze zagrożenie ze strony botnetów

Ta najnowsza odmiana Mirai jest częścią szerszego trendu cyberprzestępców wykorzystujących luki w zabezpieczeniach IoT i urządzeń przemysłowych do tworzenia botnetów . Podobne kampanie obejmują:

  • Juniper Networks ostrzega : Szkodliwi cyberprzestępcy atakują produkty Session Smart Router (SSR) z domyślnymi hasłami w celu rozprzestrzeniania złośliwego oprogramowania Mirai.
  • Raport Akamai : Infekcje Mirai wykorzystują luki umożliwiające zdalne wykonywanie kodu w rejestratorach DigiEver.

Incydenty te odzwierciedlają niepokojącą rzeczywistość: jeśli urządzenia pozostaną nieprawidłowo skonfigurowane lub niezałatane, atakujący będą je nadal wykorzystywać do rozbudowy swoich armii botnetów.

Jak chronić się przed botnetami Mirai i atakami DDoS

Biorąc pod uwagę stałe i rozwijające się zagrożenie ze strony botnetów opartych na Mirai, niezwykle ważne jest, aby organizacje i użytkownicy wdrożyli kompleksowe środki bezpieczeństwa:

  1. Zmień domyślne dane uwierzytelniające
    Zastąp domyślne hasła fabryczne na wszystkich urządzeniach silnymi i unikalnymi danymi uwierzytelniającymi.
  2. Regularnie aktualizuj i łataj urządzenia
    Aktualizuj oprogramowanie sprzętowe i oprogramowanie routera, aby ograniczyć znane luki w zabezpieczeniach, takie jak CVE-2024-12856.
  3. Wdrażanie segmentacji sieci
    Izoluj IoT i urządzenia przemysłowe od sieci krytycznych, aby ograniczyć przemieszczanie się.
  4. Monitoruj nietypowy ruch
    Stosuj systemy wykrywania włamań (IDS) i narzędzia monitorujące wykrywające anomalie w celu wykrywania nietypowych wzorców ruchu wskazujących na aktywność DDoS.
  5. Wdróż rozwiązania anty-DDoS
    Ochrona przed atakami DDoS oparta na chmurze jest w stanie absorbować i łagodzić ataki o dużej przepustowości zanim dotrą one do Twojej sieci.
  6. Ogranicz dostęp Telnet i zdalny
    Wyłącz dostęp przez Telnet i ogranicz interfejsy zdalnego zarządzania wyłącznie do zaufanych adresów IP.

Zagrożenia DDoS ewoluują

Najnowsza odmiana botnetu Mirai to coś więcej niż tylko kolejny szczep złośliwego oprogramowania — to zwiastun coraz większego wyrafinowania zagrożeń DDoS. Wykorzystując luki w zabezpieczeniach routerów przemysłowych i urządzeń IoT, atakujący tworzą botnety o większym zasięgu i potencjale destrukcyjnym.

Aby wyprzedzić te zagrożenia, organizacje i osoby muszą zachować czujność, zabezpieczyć swoje urządzenia i przyjąć proaktywne praktyki cyberbezpieczeństwa. Jak pokazuje ta kampania, nawet pozornie niewielkie luki w zabezpieczeniach mogą mieć ogromny wpływ, jeśli nie zostaną rozwiązane.

Do Zane
January 10, 2025
Computer Security
Polski
January 10, 2025
Computer Security

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.