Una botnet IoT all'attacco del mondo Finance
Una variante di Mirai è stata usata per lanciare un attacco DDoS contro realtà del mondo finanziario
Ricordate Mirai? La botnet creata prendendo il controllo di migliaia di dispositivi non proprio smart (telecamere IP, DVR, router...) ha aperto la strada a diverse varianti, che man mano vengono scoperte dalle aziende specializzate in sicurezza. Una ricerca portata avanti da Insikt Group studiando i dati a disposizione e informazioni di threat intelligence liberamente disponibili indica ora che c'è stato almeno un utilizzo organizzato di una variante di Mirai per l'attacco a istituzioni finanziarie. La notizia è rilevante in sé ma anche in relazione ad altri attacchi via botnet mirati proprio al settore Finance.
I ricercatori di Insikt hanno identificato un primo attacco DDoS a una istituzione finanziaria avvenuto lo scorso 28 gennaio verso le 18.30. Una seconda realtà del mondo Finance è stata attaccata quasi simultaneamente, cosa che fa pensare a un uso simultaneo della stessa botnet per due attacchi. Un terzo attacco è stato identificato come avvenuto lo stesso giorno ma qualche ora più tardi, con oggetto una terza azienda. Insikt stima che il primo attacco abbia raggiunto un volume di 30 Gbps con traffico generato da circa 13 mila dispositivi. Non ci sono informazioni altrettanto dettagliate per gli altri due attacchi.
La botnet usata per gli attacchi appare formata prevalentemente (80 percento) da router MikroTik compromessi. Per questo la botnet, pur essendo distribuita in ben 139 nazioni (Italia compresa), è radicata prevalentemente in Russia, Brasile e Ucraina: sono tre nazioni in cui questo brand lettone di dispositivi di rete è particolarmente diffuso. Il restante 20 percento della botnet comprende dispositivi di vario genere tra cui webcam, DVR e Smart TV.
L'analisi degli attacchi fa ipotizzare che la botnet coinvolta sia stata creata usando Reaper, un malware che lo scorso anno ha creato la botnet IoTroop. Le varie software house di sicurezza che hanno analizzato Reaper ne hanno sottolineato la particolare pericolosità, dovuta al fatto che il suo codice può essere aggiornato facilmente per sfruttare nuove vulnerabilità dei sistemi IoT man mano che esse vengono scoperte.
Gli attacchi dello scorso gennaio sono, secondo Insikt, una dimostrazione che l'utilizzo di botnet per scatenare attacchi DDoS contro istituzioni finanziarie sta diventando un modus operandi sempre più diffuso. Questa tendenza si unisce con la mancanza di sicurezza tipica di molti dispositivi IoT e genera un rischio potenziale molto elevato: è facile creare botnet IoT, con malware come Reaper è facile anche mantenerle attive ed efficaci, "reclutando" sempre più dispositivi vulnerabili.
I ricercatori di Insikt hanno identificato un primo attacco DDoS a una istituzione finanziaria avvenuto lo scorso 28 gennaio verso le 18.30. Una seconda realtà del mondo Finance è stata attaccata quasi simultaneamente, cosa che fa pensare a un uso simultaneo della stessa botnet per due attacchi. Un terzo attacco è stato identificato come avvenuto lo stesso giorno ma qualche ora più tardi, con oggetto una terza azienda. Insikt stima che il primo attacco abbia raggiunto un volume di 30 Gbps con traffico generato da circa 13 mila dispositivi. Non ci sono informazioni altrettanto dettagliate per gli altri due attacchi.
La botnet usata per gli attacchi appare formata prevalentemente (80 percento) da router MikroTik compromessi. Per questo la botnet, pur essendo distribuita in ben 139 nazioni (Italia compresa), è radicata prevalentemente in Russia, Brasile e Ucraina: sono tre nazioni in cui questo brand lettone di dispositivi di rete è particolarmente diffuso. Il restante 20 percento della botnet comprende dispositivi di vario genere tra cui webcam, DVR e Smart TV.
L'analisi degli attacchi fa ipotizzare che la botnet coinvolta sia stata creata usando Reaper, un malware che lo scorso anno ha creato la botnet IoTroop. Le varie software house di sicurezza che hanno analizzato Reaper ne hanno sottolineato la particolare pericolosità, dovuta al fatto che il suo codice può essere aggiornato facilmente per sfruttare nuove vulnerabilità dei sistemi IoT man mano che esse vengono scoperte.
Gli attacchi dello scorso gennaio sono, secondo Insikt, una dimostrazione che l'utilizzo di botnet per scatenare attacchi DDoS contro istituzioni finanziarie sta diventando un modus operandi sempre più diffuso. Questa tendenza si unisce con la mancanza di sicurezza tipica di molti dispositivi IoT e genera un rischio potenziale molto elevato: è facile creare botnet IoT, con malware come Reaper è facile anche mantenerle attive ed efficaci, "reclutando" sempre più dispositivi vulnerabili.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 23
AWS Summit 2024 - Milano
Mag 30
Be Connected Day
Magazine Tutti i numeri
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
