Ci siamo imbattuti in una notizia che riguarda una nuova versione di Mirai (una botnet che si auto-propaga e che colpisce i dispositivi IoT. Nel 2016 è stata la causa di un attacco DDoS massivo sui server Dyn). Secondo gli analisti, questa botnet è dotata di una gamma molto più vasta di exploit, che la rende più pericolosa ed in grado di diffondersi con maggiore rapidità. L’aspetto più preoccupante è che questa nuova variante non colpisce solo le vittime tradizionali (dispositivi come router, telecamere IP etc,), ma anche dispositivi specifici IoT per le aziende.
Non dovremmo sorprenderci più di tanto: il codice sorgente del malware Mirai è stato filtrato tempo fa e praticamente quasi tutti i cybercriminali come conoscenze sufficienti di programmazione possono utilizzarlo. Per questo motivo, il nome Mirai appare di frequente nel report di Securelist dei DDoS dell’ultimo trimestre del 2018. Secondo il nostro ultimo report sulle minacce che colpiscono l’Internet delle Cose, le varianti di Mirai sono state responsabili del 21% di tutte le infezioni che hanno interessato i dispositivi IoT.
Dal momento che il codice di Mirai è molto flessibile e può essere adattato alle esigenze dei cybercriminali, vi si possono aggiungere nuovi exploit per raggiungere una gamma più vasta di obiettivi. Ed è ciò che è avvenuto di recente; oltre a una nuova serie di exploit per colpire dispositivi tradizionali (ovvero router, punti di accesso, modem ADSL, telecamere di rete), ora può colpire dispositivi aziendali come controller wireless di grande capacità e per grandi aziende, sistemi di digital signage e sistemi di presentazione wireless.
Secondo gli analisti di Palo Alto Networks, nell’elenco dei nuovi potenziali obiettivi di Mirai possiamo includere:
- Sistemi di presentazione wireless WePresent WiPG-1000;
- TV LG Supersign;
- Telecamere di rete DLink DCS-930L;
- Router DLink DIR-645 e DIR-815;
- Router Zyxel P660HN-T;
- Dispositivi Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660 e WNDAP620;
- Netgear DGN2200 N300 Wireless ADSL2+ modem router;
- Controller wireless Netgear Prosafe WC9500, WC7600 e WC7520.
Sicuramente non finirà qui; i nostri esperti si aspettano nuove ondate di infezioni Mirai che potrebbero interessare anche dispositivi IoT industriali.
Come proteggere i dispositivi
Per evitare che i vostri dispositivi vengano coinvolti nella botnet Mirai, il nostro ricercatore di sicurezza Victor Chebyshev consiglia alle aziende di:
- Installare patch e aggiornamenti firmware su tutti i dispositivi e i sistemi non appena disponibili;
- Monitorare il volume del traffico proveniente da ogni dispositivo. I dispositivi infetti generano un traffico di gran lunga superiore;
- Modificare sempre le password preimpostate e organizzare una politica di creazione di password più robusta, da far applicare ai dipendenti;
- Riportare un dispositivo alle impostazioni di fabbrica quando sembra comportarsi in maniera strana. In alcuni casi ciò più aiutare a sbarazzarsi da un malware già esistente ma non evita future infezioni.
Kaspersky IoT Threat Data Feed
Per proteggere le aziende dalle minacce più recenti e relative ai dispositivi IoT, abbiamo lanciato un nuovo intelligence data feed, che raccoglie dati specifici delle minacce ai dispositivi IoT. Al momento abbiamo raccolto oltre 8 mila entrate e l’aggiornamento viene effettuato ogni ora. Potrete implementare il feed su router, gateway web, smart system e singoli prodotti IoT o integrarlo in soluzioni globali di Threat Intelligence.
Il servizio si basa su informazioni ottenute dai nostri ricercatori e analisti, oltre sui dati ricevuti da honeypot e altre trappole che simulano dispositivi IoT non protetti. Per maggiori informazioni, o se volete contattare il nostro team che si occupa delle soluzioni di tecnologia integrata, potete visitare il sito dedicato a Kaspersky Internet of Things Threat Data Feed.