Router, dispositivi Internet of Things (IoT) e un’ampia gamma di architetture server sono nel mirino della botnet EnemyBot.
Lo scorso 12 aprile, i ricercatori di cyber sicurezza di FortiGuard Labs hanno isolato la nuova minaccia specializzata in attacchi di tipo Distributed Denial-of-Service (DDoS) e che prende in prestito alcuni moduli malevoli dal codice sorgente della nota Mirai e da Gafgyt.
Infatti, “EnemyBot è solo l’ultima evoluzione di Mirai, una delle botnet più attive e distruttive degli ultimi anni”, commenta Pierguido Iezzi, esperto di cyber security e CEO di Swascan.
Botnet Mirai, una nuova variante sfrutta 13 exploit per colpire i router: i consigli per difendersi
Indice degli argomenti
EnemyBot, una nuova botnet stile Mirai
La botnet Mirai è stata responsabile di un massiccio attacco DDoS contro Dyn nel 2016. Il suo codice sorgente ha poi subìto un leak nello stesso anno. In seguito a questo evento, le altre botnet che sfruttano parti della rete malevola hanno continuato a essere minacciose armi a disposizioni di attori criminali, come dimostra il caso Log4j.
Inoltre, è pubblico il codice di Gafgyt/Bashlite e, secondo FortiGuard, il nuovo EnemyBot impiega elementi di entrambe le botnet nei loro attacchi.
“Questa sua ultima variante”, continua Iezzi, “orchestrata dal gruppo di criminal hacker Keksec sembra avere come principale obiettivo quello d’installare silenziosamente cryptominer all’interno di modem, router e altri device IoT”.
Infatti, Keksec sembra essere un operatore di botnet. Noto come Necro o Freakout, è un gruppo di attori criminali prolifico connesso ad assalti via DDoS, cyber attacchi contro service provider del cloud computing e campagne di cryptojacking.
“Il fatto che siano proprio questi a essere presi di mira non deve sorprendere”, sottolinea Iezzi, “È una conseguenza diretta dell’incredibile eterogeneità di reti e sistemi che ci circondano”.
Le architetture server nel mirino sono basate su Arm, Arm64, Darwin e BSD. Ma questo mix di exploit verso server web e applicazioni oltre i soliti device IoT, in coppia con un’ampia gamma di architetture supportate, potrebbe essere il segno che Keksec stia testando la possibilità di espandere la botnet al di là dei dispositivi IoT low-resource per orientarsi ad attacchi DDoS.
Come proteggersi dalle botnet
“Le botnet sono una costante nel mondo del cyber crime”, mette in guardia Iezzi, “Swascan stessa, in uno studio realizzato grazie ai suoi strumenti proprietari italiani di Threat Intelligence, aveva rilevato a fine 2021 come in Italia fossero attivi 95mila bot, distribuiti eterogeneamente sul territorio del nostro Paese”.
“Di per sé una botnet non è devastante come – per esempio – un ransomware, ma il fatto che vada a colpire così tanti device rende evidente come l’attività di patching e fixing dei sistemi sia un punto di attenzione e criticità. EnemyBot o qualsiasi altra botnet, infatti, può essere prevenuta tramite gli ultimi aggiornamenti del firmware disponibili per i vari device”, dice Iezzi. Tuttavia, “un’opera di aggiornamento così ampia è complessa. Soprattutto per una assenza di garanzia di interoperabilità con gli altri sistemi”.
“Diventa quindi indispensabile adottare tout court sistemi di virtual patching. A livello più alto, attacchi come EnemyBot dimostrano la quasi obsolescenza dei classici paradigmi di security by design e by default – inefficaci e inefficienti davanti alla rapidità e all’adattabilità dei metodi di attacco sviluppati dai criminal hacker”. Dunque, “la strada da imboccare, adesso”, conclude Iezzi, “è quella di security by detection e security by reaction – con i relativi strumenti abilitanti – per meglio identificare e combattere le minacce in maniera rapida ed efficiente”.
