Come funziona Mirai?
Mirai è un esempio di malware botnet. Il malware Botnet infetta un computer e apre un canale di comando e controllo (C2) verso l'infrastruttura C2 di un attaccante. Ciò consente all'aggressore di inviare comandi al malware della botnet, che li esegue utilizzando le risorse della macchina infetta. Con molti dispositivi infetti, le botnet sono in grado di eseguire attacchi automatizzati su larga scala, come DDoS o credential stuffing.
Mirai è una forma di malware che prende di mira in modo specifico i dispositivi IoT, approfittando dello stato relativamente scarso di IoT Security. Infatti, Mirai sfrutta il fatto che molti di questi dispositivi vengono distribuiti con nomi utente e password predefiniti e deboli. Con un breve elenco di nomi utente e password predefiniti per vari dispositivi IoT, Mirai è stato in grado di accedere via Telnet e di installarsi su centinaia di migliaia di dispositivi IoT al suo apice.
Il malware delle botnet è comunemente progettato anche per essere auto-diffuso. Nel caso di Mirai, il suo vettore di infezione principale era l'accesso al dispositivo IoT vulnerabile tramite Telnet. Di conseguenza, i bot Mirai eseguivano scansioni regolari di obiettivi vulnerabili accessibili via Telnet e consegnavano il malware a tutti quelli che identificavano.
Come viene utilizzato Mirai?
Le botnet possono essere utilizzate per una serie di scopi diversi. Qualsiasi attacco che possa essere automatizzato - come un attacco DDoS o di credential stuffing - può essere scalato in modo significativo facendo sì che centinaia o migliaia di bot lo eseguano in parallelo.
Mirai è un esempio di botnet specializzata in attacchi DDoS. Nei primi tempi, veniva utilizzato per eseguire attacchi DDoS contro i server Minecraft a scopo di estorsione. Da allora, Mirai è stato utilizzato per eseguire attacchi di alto profilo contro una serie di organizzazioni diverse. Un attacco di alto profilo contro Dyn - un profilo DNS molto utilizzato - ha fatto sì che una parte significativa di Internet fosse irraggiungibile per la durata dell'attacco.
Le applicazioni di Mirai sono state drasticamente ampliate quando il suo codice sorgente è stato divulgato pubblicamente nel settembre 2016. Con l'accesso al codice sorgente, altri criminali informatici potrebbero adattare il malware botnet di grande successo per creare le proprie botnet. Ciò include la configurazione del malware per puntare alla propria infrastruttura C2 - consentendogli di dirigere i propri attacchi - o l'aggiunta di funzionalità aggiuntive come nuovi meccanismi di infezione o capacità - come l'esecuzione di credential stuffing, cryptojacking o altri attacchi automatizzati.
La minaccia di Mirai
Mirai rappresenta una minaccia multipla per le organizzazioni e gli individui. Il primo deriva dallo scopo principale della botnet Mirai, che è quello di eseguire attacchi DDoS. Una massiccia rete di bot che prende di mira un servizio con un attacco DDoS ha un'alta probabilità di far fallire quel servizio, a meno che non disponga di solide protezioni anti-DDoS.
La minaccia di Mirai è stata aggravata dalla fuga pubblica del suo codice sorgente. Diverse botnet IoT moderne sono discendenti di Mirai che hanno modificato il codice sorgente per soddisfare gli obiettivi dei loro proprietari. Queste botnet rappresentano una gamma più ampia di minacce per le organizzazioni, in quanto possono essere utilizzate per il credential stuffing, il cryptojacking e altri attacchi oltre alle campagne DDoS.
Infine, Mirai rappresenta una minaccia per i proprietari di dispositivi DDoS vulnerabili. Il malware utilizza la potenza di calcolo e la larghezza di banda di rete di questi dispositivi per eseguire attacchi DDoS. Tuttavia, il suo accesso a questi sistemi potrebbe anche essere abusato per spiare o eseguire altri attacchi contro i proprietari.
Come proteggersi dal malware Mirai Botnet
Mirai, come molte altre botnet, sfrutta le debolezze nella sicurezza dei dispositivi IoT. Alcune best practice per proteggersi da Mirai e dai suoi discendenti sono le seguenti:
- Cambiare le password: Mirai utilizza un elenco di nomi utente e password predefiniti per accedere al dispositivo IoT. Prima di distribuire un dispositivo IoT, cambi la password o disabiliti gli account predefiniti.
- Aggiornare il dispositivo: alcuni malware botnet sfruttano le vulnerabilità dei dispositivi IoT per infettarli. L'applicazione tempestiva di aggiornamenti e patch può colmare queste lacune di sicurezza prima che vengano sfruttate dal malware della botnet.
- Network Segmentation: I dispositivi IoT vulnerabili rappresentano un rischio per la sicurezza delle organizzazioni che li possiedono. La segmentazione dei dispositivi IoT dal resto della rete può aiutare a evitare che vengano utilizzati come vettore di accesso da un aggressore.
Protezione da malware Mirai con Check Point
Mirai e altre botnet DDoS rappresentano un rischio significativo per la disponibilità dei servizi e dei sistemi aziendali. Un attacco DDoS su larga scala contro un'organizzazione può sovraccaricarla di un traffico superiore a quello che può gestire, rendendola indisponibile agli utenti legittimi.
Quantum DDoS Protector di Check Point consente alle aziende di filtrare il traffico DDoS su scala, bloccando gli attacchi DDoS e consentendo agli utenti legittimi di accedere alle risorse e ai servizi aziendali. Per saperne di più sull'esposizione della sua organizzazione agli attacchi automatizzati, esegua la scansione gratuita dell'analizzatore di bot DDoS di Check Point.
Feedback