Scoperta per la prima volta nel 2016, la botnet Mirai ha rilevato un numero di dispositivi senza precedenti e ha causato enormi danni a Internet. Ora è tornato e più pericoloso che mai.
Sommario:
Il nuovo e migliorato Mirai sta infettando più dispositivi
Il 18 marzo 2019, i ricercatori sulla sicurezza di Palo Alto Networks ha svelato che Mirai è stato ottimizzato e aggiornato per raggiungere lo stesso obiettivo su scala più ampia. I ricercatori hanno scoperto che Mirai utilizzava 11 nuove esportazioni (portando il totale a 27) e un nuovo elenco di credenziali amministrative predefinite da provare. Alcune delle modifiche riguardano l’hardware aziendale, inclusi i televisori LG Supersign e i sistemi di presentazione wireless WePresent WiPG-1000.
Mirai può essere ancora più potente se può rilevare l’hardware aziendale e requisire le reti aziendali. Come Ruchna Nigam, ricercatrice senior sulle minacce presso Palo Alto Networks, lo mette:
Queste nuove funzionalità offrono alla botnet un’ampia superficie di attacco. In particolare, prendere di mira i collegamenti aziendali garantisce anche l’accesso a una larghezza di banda maggiore, con conseguente maggiore potenza di fuoco per la botnet per gli attacchi DDoS.
Questa variante di Miria continua ad attaccare router, telecamere e altri dispositivi connessi in rete. Per scopi distruttivi, più dispositivi infetti, meglio è. Un po ‘ironicamente, il payload dannoso era ospitato su un sito web che promuoveva un’attività che si occupava di “sicurezza elettronica, integrazione e monitoraggio degli allarmi”.
Mirai è una botnet che attacca i dispositivi IOT
Se non ricordi, nel 2016 la botnet Mirai sembrava essere ovunque. Ha preso di mira router, sistemi DVR, telecamere IP e altro ancora. Questi sono spesso chiamati dispositivi Internet of Things (IoT) e includono dispositivi semplici come termostati che si connettono a Internet. Le botnet funzionano infettando gruppi di computer e altri dispositivi connessi a Internet e quindi costringendo le macchine infette ad attaccare i sistemi o lavorare su altri obiettivi in modo coordinato.
Mirai ha cercato dispositivi con credenziali di amministratore predefinite, o perché nessuno li ha modificati o perché il produttore li ha codificati. La botnet ha rilevato un numero enorme di dispositivi. Anche se la maggior parte dei sistemi non fosse molto potente, i numeri messi insieme potrebbero lavorare insieme per ottenere più di quanto un potente computer zombi potrebbe fare da solo.
Mirai ha acquisito quasi 500.000 dispositivi. Utilizzando questa botnet raggruppata di dispositivi IoT, Mirai ha paralizzato servizi come Xbox Live e Spotify e siti web come BBC e Github prendendo di mira direttamente i provider DNS. Con così tante macchine infette, Dyn (un provider DNS) è stato bloccato da un attacco DDOS che ha visto 1,1 terabyte di traffico. Un attacco DDOS funziona inondando un obiettivo con un’enorme quantità di traffico Internet, più di quanto l’obiettivo possa gestire. Ciò porterà il sito Web o il servizio della vittima a una scansione o lo forzerà completamente fuori da Internet.
I creatori originali del software botnet Marai erano arrestato, dichiarato colpevole e dato i termini di libertà vigilata. Per un po ‘, Mirai è stata chiusa. Ma abbastanza del codice è sopravvissuto perché altri cattivi attori prendessero il controllo di Mirai e lo alterassero per soddisfare le loro esigenze. Ora c’è un’altra variante di Mirai là fuori.
Come proteggersi da Mirai
Mirai, come altre botnet, utilizza exploit noti per attaccare i dispositivi e comprometterli. Prova anche a utilizzare credenziali di accesso predefinite note per lavorare nel dispositivo e assumerlo. Quindi le tue tre migliori linee di protezione sono dirette.
Aggiorna sempre il firmware (e il software) di tutto ciò che hai a casa o sul posto di lavoro che può connettersi a Internet. L’hacking è un gioco al gatto e al topo e, una volta che un ricercatore scopre un nuovo exploit, seguono le patch per correggere il problema. Le botnet come questa prosperano su dispositivi privi di patch e questa variante Mirai non è diversa. Gli exploit mirati all’hardware aziendale sono stati identificati lo scorso settembre e nel 2017.
Cambia le credenziali di amministratore dei tuoi dispositivi (nome utente e password) il prima possibile. Per i router, puoi farlo nell’interfaccia web del router o nell’app per dispositivi mobili (se presente). Per altri dispositivi a cui accedi con il loro nome utente o password predefiniti, consulta il manuale del dispositivo.
Se puoi accedere utilizzando admin, password o un campo vuoto, devi cambiarlo. Assicurati di modificare le credenziali predefinite ogni volta che configuri un nuovo dispositivo. Se hai già configurato i dispositivi e hai trascurato di cambiare la password, fallo ora. Questa nuova variante di Mirai mira a nuove combinazioni di nomi utente e password predefiniti.
Se il produttore del dispositivo ha smesso di rilasciare nuovi aggiornamenti del firmware o ha codificato le credenziali di amministratore e non è possibile modificarle, valuta la possibilità di sostituire il dispositivo.
Il modo migliore per verificare è iniziare dal sito Web del produttore. Trova la pagina di supporto per il tuo dispositivo e cerca eventuali avvisi relativi agli aggiornamenti del firmware. Controlla quando è stato rilasciato l’ultimo. Se sono trascorsi anni dall’aggiornamento del firmware, il produttore probabilmente non supporta più il dispositivo.
Puoi trovare le istruzioni per modificare le credenziali di amministrazione anche sul sito Web di supporto del produttore del dispositivo. Se non riesci a trovare gli aggiornamenti del firmware recenti o un metodo per modificare la password del dispositivo, è probabilmente il momento di sostituire il dispositivo. Non vuoi lasciare qualcosa di permanentemente vulnerabile connesso alla tua rete.
Se l’ultimo firmware che riesci a trovare è del 2012, dovresti sostituire il tuo dispositivo.
Sostituire i tuoi dispositivi può sembrare drastico, ma se sono vulnerabili, è la tua migliore opzione. Botnet come Mirai non se ne andranno. Devi proteggere i tuoi dispositivi. E proteggendo i tuoi dispositivi, proteggerai il resto di Internet.