info@difesaesicurezza.com

Torna l’incubo di Mirai e Gafgyt per i dispositivi IoT, ma le vittime cambiano

Torna l’incubo di Mirai e Gafgyt per i dispositivi IoT, ma le vittime cambiano

La Unit 42 di Palo Alto Networks scopre nuove varianti delle botnet Mirai e Gafgyt. Sfruttano vulnerabilità di Apache Struts e SonicWall per lanciare attacchi DDoS contro i dispositivi IoT

Torna l’incubo di Mirai e Gafgyt per i dispositivi IoT. I ricercatori della cyber security di Palo Alto Networks (Unit 42) hanno recentemente individuato nuove varianti delle famose botnet, che dal 2016 prendono di mira gli apparecchi Internet of Things soprattutto con attacchi informatici di tipo DDoS (Distributed Denial of Service). La nuova versione del primo codice malevolo sfrutta 16 vulnerabilità di Apache Struts, tra cui quella che nel 2017 ha portato alla violazione dei dati (data breach) di Equifax. Quella del secondo si rivolge a una recente vulnerabilità critica che interessa SonicWall Global Management System GMS 8.1 (Build 8110.1197) e le precedenti versioni. Secondo gli esperti, la trasformazione delle due botnet suggerisce che queste abbiano puntato a colpire i dispositivi aziendali con versioni di software obsolete.

I bersagli dei cyber attacchi cambiano: dal settore consumer si passa a quello delle aziende

Secondo il CERT della Pubblica Amministrazione (CERT-PA), le due botnet puntano, in linea di massima, a condurre attacchi informatici di tipo DDoS. Gafgyt sfrutta una serie di vulnerabilità di prodotti IoT, inclusi i dispositivi Huawei, GPON e D-Link. Inoltre, supporta il metodo di attacco BlackNurse DDoS. Mirai, che nel suo primo attacco nel 2016 coinvolse i server di Dynamic Network Services (Dyn) provocando il blocco di oltre 1.200 siti Web tra cui Netflix e Twitter, recentemente è stata utilizzata per lanciare una serie di campagne DDoS contro le imprese del settore finanziario. Negli scorsi mesi sono state identificate varianti denominate Satori (Mirai Okiru) e Wicked Mirai. Gli ultimi dati raccolti dai ricercatori di cyber security sull’inclusione di exploit per Apache Struts e SonicWall, fa presupporre che gli autori dei codici malevoli abbiano cambiato target: spostandosi da bersagli nel settore consumer a obiettivi in ambito aziendale.

Il post integrale della Unit 42 con gli indicatori di compromissione

Francesco Bussoletti

TwitterFacebook

Articoli correlati

Cybercrime, Breached chiude i battenti davvero?
Baphomet ferma le attività dell’erede di RaidForums, specializzato nei data leak, dopo l’arresto di Pompompurin. Il canale e il gruppo Telegram, però, rimarranno aperti e ne nascerà uno nuovo.
Back To Top