Una nuova variante della botnet Mirai, nota come V3G4, viene utilizzata dagli aggressori per prendere di mira i dispositivi Internet of Things e i server basati su Linux.
Una nuova botnet Mirai viene utilizzata in vari attacchi
Il 15 febbraio 2023, i ricercatori di sicurezza di Unit42 presso Palo Alto Networks hanno pubblicato un avviso su una nuova variante della botnet Mirai, denominata "V3G4". Nel Posta dell'Unità42, i lettori sono stati avvertiti che varie campagne hanno utilizzato il malware botnet per eseguire exploit, che sono stati monitorati tra luglio e dicembre 2022.
Complessivamente, l'operatore malintenzionato è riuscito a sfruttare 13 vulnerabilità di sicurezza, ognuna delle quali potrebbe consentire l'esecuzione di codice in modalità remota per creare una botnet. Unit42 ha scritto nel suo avviso che, dopo l'esecuzione del codice in modalità remota, "le utilità wget e curl sono automaticamente eseguito per scaricare i campioni del client Mirai dall'infrastruttura del malware e quindi eseguire il bot scaricato clienti».
Unit42 ha anche informato i lettori che si sospetta che dietro ogni attacco ci sia lo stesso autore di minacce. Inoltre, l'autore della minaccia ha usato un insulto razzista nell'attacco, che è stato censurato nell'avviso. Al momento in cui scriviamo, nessun servizio dannoso è stato collegato alla serie di attacchi.
I server Linux e i dispositivi IoT sono stati presi di mira
Questa nuova variante Mirai è stata utilizzata per sfruttare dispositivi IoT e server basati su Linux. Nel suddetto avviso, Unit42 ha scritto che V3G4 "prende di mira i server esposti e i dispositivi di rete che eseguono Linux", prendendo di mira anche i dispositivi IoT, per "condurre ulteriori attacchi, come attacchi denial-of-service (DDoS) distribuiti."
Unit42 ha anche scritto che "una volta che il client stabilisce una connessione con il server C2, l'autore della minaccia può inviare comandi al client per lanciare attacchi DDoS". Le botnet lo sono comunemente usato negli attacchi DDoS interrompere il tipico flusso di traffico online di un server o di un sito web. Ciò può causare l'arresto anomalo del server o del sito, rendendolo temporaneamente inaccessibile agli utenti normali.
Il malware Mirai è una minaccia da anni
Le varianti della botnet Mirai sono state utilizzate numerose volte in passato per lanciare attacchi dannosi dall'emergere del primo programma Mirai nel 2016.
Molte piattaforme note sono state prese di mira utilizzando le botnet Mirai, tra cui Minecraft, Amazon, Netflix e PayPal. Non c'è dubbio che questa famiglia di malware rappresenti un enorme rischio per i servizi online.
Le botnet sono vettori di attacco pericolosi ma efficaci
La creazione di una rete di dispositivi zombie per eseguire exploit dannosi è un metodo sofisticato ma molto preoccupante utilizzato oggi dai criminali informatici, in particolare negli attacchi DDoS. Vedremo sicuramente emergere altri tipi di malware botnet in futuro, forse dai creatori di Mirai.