Key takeaways
- Sikkerhetseksperter har oppdaget en ny skadelig programvare som angriper Internett-tilkoblede enheter som rutere og sikkerhetskameraer for å koble dem inn i et botnett.
- Malware-forfattere leter alltid etter måter å bryte seg inn på internetteksponerte enheter for å bruke dem til alle slags grusomme formål, advarer eksperter.
-
Eksperter foreslår at folk kan hindre slike angrep ved å installere sikkerhetsoppdateringer uten forsinkelser og bruke fullstendig oppdaterte antimalware-produkter.
Eksplosjonen av uovervåkede plug-in-og-glem internett-tilkoblede smartenheter setter ikke bare eierne deres i fare, men kan også brukes til å ødelegge populære nettsteder og tjenester.
Forskere har nylig oppdaget en ny stamme av skadelig programvare som angriper sikkerhetssårbarheter i flere rutere. Når de først er infisert, blir de kompromitterte ruterne festet i ondsinnede botnett som nettkriminelle bruker til å angripe et nettsted eller en nettjeneste med søppeltrafikk og kvele dem ut av drift. Dette er kjent som et distribuert denial of service (DDoS)-angrep på nettsikkerhetsspråk.
"Dessverre er det alt for mange dårlig beskyttede systemer som lett kan bli med på disse angrepene," sa Ryan Thomas, VP of Product Management hos leverandøren av nettsikkerhetsløsninger LogicHub, til Lifewire via e-post. "Nøkkelen for sluttbrukere er ikke å være et av disse enkle målene."
We Are the Borg
Forskere ved cybersikkerhetsfirmaet Fortinet møtte en ny variant av en populær botnet-roping malware som hadde lært nye triks for å assimilere forbrukerrutere. I følge deres observasjoner har de dårlige aktørene bak Beastmode (også kjent som B3astmode) botnettet "aggressivt oppdatert sitt arsenal av utnyttelser", og lagt til tot alt fem nye utnyttelser, med tre av dem som angriper sårbarheter i Totolink-ruterne.
Bemerkelsesverdig kom denne utviklingen kort tid etter at Totolink hadde gitt ut fastvareoppdateringer for å fikse de tre kritiske sikkerhetssårbarhetene. Så mens sårbarhetene har blitt rettet, satser angriperne på at mange brukere tar tid før de oppdaterer fastvaren på enhetene sine, og noen gjør det aldri.
Beastmode-botnettet låner koden sin fra det meget potente Mirai-botnettet. Før de ble arrestert i 2018, hadde Mirai-botnettoperatørene åpen kildekode koden til deres dødelige botnett, noe som gjorde det mulig for andre nettkriminelle som Beastmode å kopiere den og tilføre nye funksjoner for å utnytte flere enheter.
Ifølge Fortinet, i tillegg til Totolink, retter Beastmode malware seg også mot sårbarheter i flere D-Link-rutere, et TP-Link IP-kamera, nettverksvideoopptaksenheter fra Nuuo, samt Netgears ReadyNAS Surveillance-produkter. Bekymrende nok har flere målrettede D-Link-produkter blitt avviklet og vil ikke få en sikkerhetsoppdatering fra selskapet, noe som gjør dem sårbare.
"Når enheter er infisert av Beastmode, kan botnettet brukes av operatørene til å utføre en rekke DDoS-angrep som ofte finnes i andre Mirai-baserte botnett," skrev forskerne.
Botnett-operatører tjener penger ved enten å selge botnettet som består av flere tusen kompromitterte enheter til andre nettkriminelle, eller de kan starte DDoS-angrepene selv, og deretter kreve løsepenger fra offeret for å stoppe angrepene. Ifølge Imperva kan DDoS-angrep som er kraftige nok til å lamme et nettsted i flere dager kjøpes for så lite som $5/time.
Ruter og mer
Mens Fortinet foreslår at folk bruker sikkerhetsoppdateringer på alle Internett-tilkoblede enheter uten noen forsinkelse, foreslår Thomas at trusselen ikke bare er begrenset til enheter som rutere og andre Internet of Things-enheter (IoT) som babymonitorer og hjemmesikkerhetskameraer.
"Skadelig programvare blir mer lumsk og smartere til å få sluttbrukersystemer til å bli en del av et botnett," påpekte Thomas. Han foreslo at alle PC-brukere bør sørge for at antimalware-verktøyene deres holder seg oppdatert. Videre bør alle gjøre alt de kan for å unngå mistenkelige nettsteder, samt phishing-angrep.
Ifølge TrendMicro er en ukarakteristisk treg internettforbindelse et av tegnene på en kompromittert ruter. Mange botnett endrer også påloggingsinformasjonen til en kompromittert enhet, så hvis du ikke kan logge på den Internett-tilkoblede enheten din ved å bruke eksisterende legitimasjon (og du er sikker på at du ikke taster inn feil passord), er det stor sjanse for at skadelig programvare har infiltrert enheten din og endret påloggingsdetaljene.
Når det gjelder skadelig programvare som infiserer datamaskiner, sa Thomas at forbrukere bør gjøre det til en vane å overvåke CPU-bruken til systemene deres med jevne mellomrom. Dette er fordi mange botnett også inkluderer kryptominerende skadelig programvare som stjeler og griser datamaskinens prosessor for å utvinne kryptovalutaer.
"Hvis systemet ditt kjører raskt uten åpenbare forbindelser, kan dette være et tegn på at det er en del av et botnett," advarte Thomas. "Så når du ikke bruker den bærbare datamaskinen, slå den av helt."