IoTroop – botnet bazujący na Mirai – atakuje instytucje finansowe

Eksperci z firmy Recorded Future poinformowali o atakach DDoS na trzy firmy z sektora finansowego, które zaobserwowano w styczniu 2018 r. Ataki wykonano przy użyciu botnetu IoTroop, który w ostatnich miesiącach zwiększył swój zasięg, infekując podłączone do internetu urządzenia na całym świecie (najwięcej w Rosji, Brazylii i na Ukrainie). Badacze nie podali nazw zaatakowanych instytucji, ujawnili tylko, że wszystkie znajdują się na liście Fortune 500. Pierwszy z zaobserwowanych ataków został przeprowadzony z wykorzystaniem 13 tys. urządzeń – każde z nich miało unikalny adres IP i łącznie generowały ruch o natężeniu 30 Gb/s. Eksperci ustalili, że botnet składał się w 80% z zainfekowanych routerów MikroTik z otwartym portem TCP 2000. Pozostałe 20% stanowiły serwery Apache i IIS, a także urządzenia IoT (ang. Internet of Things) różnych producentów, takich jak Ubiquity, Cisco, ZyXEL, GoAhead, Linksys, TP-Link czy Dahua. Był to pierwszy udokumentowany przypadek użycia botnetu opartego na kodzie Mirai w ataku DDoS na sektor finansowy. Szczegóły kolejnych dwóch ataków nie są znane.

Ryzyko duże: W branży finansowej, uzależnionej w dużej mierze od dostępu do zasobów sieciowych, nawet krótkie przerwy w świadczeniu usług, wywołane atakiem DDoS, mogą negatywnie wpłynąć na przychody i reputację firmy.

Działania krótkoterminowe: Aktualizacja oprogramowania wbudowanego podatnych urządzeń do najnowszej wersji. Obowiązkowa zmiana domyślnych haseł na trudne do odgadnięcia. Wyłączenie nieużywanych usług i odfiltrowanie portów.

Źródło: https://www.recordedfuture.com/mirai-botnet-iot/