Il malware Mirai si evolve e prende di mira le aziende

Il malware Mirai è stato sviluppato per la prima volta a cavallo tra la fine del 2015 e l’inizio del 2016 ed è diventato una minaccia effettivamente diffusa durante l’estate e l’autunno 2016, quando riuscì a diffondersi in migliaia di router e videoregistratori (distribuito tramite smart camera e sistemi di telecamere a circuito chiuso).

La botnet Mirai è una infrastruttura già usata per lanciare una lunga serie di attacchi, uno dei quali contro il blog KrebsONSecurity: l’attacco attirò le attenzioni delle forze di Polizia, obbligando l’autore del malware e pubblicare in rete il codice sorgente del malware. Questa mossa ha fatto sì che spuntassero decine di varianti di Mirai e che le tracce dello sviluppatore originale si confondessero ancora di più.

La nuova versione
La nuova variante di Mirai è stata individuata a fine Gennaio e sfrutta una serie impressionante di exploit: 27 per la precisione, di cui 11 assolutamente nuovi e mai riscontrati in attacchi reali.

I bersagli prediletti di questa versione sono i sistemi WePresent WiPG-1000 e le TV e LG Supersign: entrambi questi dispositivi sono utilizzati in ambiti aziendali. Nel caso delle TV LG la vulnerabilità sfruttata è la CVE-2018-17173, un bug che, gestendo in maniera scorretta alcuni parametri, lascia aperta all’attaccante la possibilità di eseguire codice da remoto. Per i sistemi WePresent invece la tecnica è quella dell’iniezione di comandi. Altri dispositivi presi di mira sono router e videocamere di sorveglianza, a ribadire ancora che il mondo dei dispositivi IoT deve ancora fare molti passi avanti dal punto di vista della cyber security. Infatti, oltre ai nuovi exploit, questa versione di Mirai utilizza ancora (e con successo) le credenziali predefinite dei dispositivi.

Altri dispositivi bersaglio sono:
router Linksys,
router ZTE,
router DLink,
dispositivi di storage di rete,
NVR e telecamere IP.
Che cosa fa Mirai?
In breve Mirai è un malware che infetta dispositivi IoT per renderli nodi di una botnet. Questa infrastruttura viene quindi usata per portare attacchi DDoS di piccole, medie e ampie dimensioni. Il fatto che questa versione colpisca principalmente dispositivi usati in ambito aziendale la rende molto preoccupante, poichè in questo caso i cyber attaccanti avrebbero a disposizione collegamenti a banda larga che gli utenti home non hanno: una botnet con tali caratteristiche ha un potenziale decisamente superiore rispetto a quanto visto fino adesso.
Ultime news

I dipendenti lavorano coi loro dispositivi personali? Ecco come proteggerli
21 marzo 2019
Lavorare su dispositivi personali piace molto ai dipendenti e sono sempre di più le aziende, di piccole e medie dimensioni, che ad…

Strage di account Office 365 e Gsuite: aziende nel mirino
15 marzo 2019
Sei mesi di indagini sono state necessarie per scoprire una delle più grandi campagne di cyber spionaggio mai avvenute ai danni di…

mSuite, per la sicurezza mobile. Tutto ciò che è utile sapere
11 marzo 2019
Ormai, tra i numerosi compiti e problematiche affrontate dai responsabili della sicurezza IT nelle aziende, la gestione dei

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy