Mirai выходит на бизнес-уровень

У нового штамма Mirai гораздо больше эксплойтов, и некоторые из них нацелены на уязвимости в корпоративных IoT-устройствах.

Новый вариант Mirai заражает не только свои классические жертвы — маршрутизаторы, IP-камеры и другие «умные» вещи, теперь он покушается и на корпоративные IoT-устройства.

Недавно в Сети появилось сообщение о новой версии Mirai — ботнета, который распространяется самостоятельно и угрожает прежде всего устройствам Интернета вещей. Именно с его помощью еще в 2016 году была организована масштабная DDoS-атака на серверы Dyn. Аналитики отмечают, что у нового червя теперь куда более широкий арсенал эксплойтов, из-за чего он стал опаснее и распространяется быстрее. К тому же новый вариант Mirai заражает не только свои классические жертвы — маршрутизаторы, IP-камеры и другие «умные» вещи, теперь он покушается и на корпоративные IoT-устройства. А это уже более тревожный факт.

Появление очередной версии ботнета сюрпризом не стало: исходный код Mirai просочился в свободный доступ уже давно, и сделать собственный зловред на его основе мог любой злоумышленник. Отчет Securelist о DDOS-атаках в IV квартале 2018 года пестрит упоминаниями о Mirai. По результатам нашего последнего отчета об IoT-угрозах видно, что его вариации виновны в 21% всех заражений устройств Интернета вещей.

Код Mirai очень гибкий, его легко адаптировать, поэтому зловред без труда обзаводится новыми эксплойтами, расширяя круг потенциальных целей. Именно это и произошло с новой версией. Ее создатели не только обновили набор эксплойтов для захвата привычных жертв (маршрутизаторов, точек доступа, ADSL-модемов и сетевых камер), но и научили Mirai заражать устройства корпоративного класса. Теперь в зоне риска — беспроводные контроллеры, цифровые рекламные панели (Digital Signage) и беспроводные системы презентации.

Согласно данным аналитиков из компании Palo Alto Networks, в список новых потенциальных мишеней попали:

  • беспроводная система презентации ePresent WiPG-1000;
  • телевизоры LG Supersign;
  • сетевые видеокамеры DLink DCS-930L;
  • маршрутизаторы DLink DIR-645 и DIR-815;
  • маршрутизаторы Zyxel P660HN-T;
  • точки доступа Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660, WNDAP620;
  • модемы-маршрутизаторы Netgear DGN2200 N300 Wireless ADSL2+;
  • беспроводные контроллеры Netgear Prosafe WC9500, WC7600, WC7520.

И это только начало. Наши эксперты ожидают новых волн заражения Mirai, которые, возможно, затронут даже устройства промышленного Интернета вещей.

Как защититься от новой версии Mirai

Наш эксперт Виктор Чебышев подготовил несколько советов для тех, кто не хочет, чтобы их устройства пополнили список жертв.

  • Сразу же после выпуска новых патчей и обновлений устанавливайте их на всех устройствах и системах.
  • Следите за объемом трафика каждого IoT-устройства: у зараженной техники он будет намного больше.
  • Всегда меняйте пароли, установленные по умолчанию, и введите эффективную политику паролей для сотрудников.
  • Перезагружайте устройства, которые странно себя ведут, но помните: это может помочь избавиться от зловредов, но не защищает от повторного заражения.

Kaspersky IoT Threat Data Feed

Чтобы защитить компании от новейших опасностей в сфере Интернета вещей, мы выпустили новый сервис, предоставляющий аналитические данные об IoT-угрозах. База Kaspersky IoT Threat Data Feed уже содержит больше 8 тысяч записей и обновляется каждый час. Сервис может использоваться в маршрутизаторах, веб-шлюзах, интеллектуальных системах и отдельных продуктах Интернета вещей.

Информацию предоставляют наши исследователи и аналитики. Также мы собираем данные из ханипотов и других ловушек, притворяющихся незащищенными IoT-устройствами. Если вас интересуют подробности или вы хотите связаться со специалистами по интеграции, посетите страницу Kaspersky Internet of Things Threat Data Feed.

Советы