La botnet Mirai e il più grande attacco DDoS mai registrato
La botnet Mirai e il più grande attacco DDoS mai registrato
Botnet IoT in azione
I ricercatori hanno identificato due botnet basate su Mirai che sfruttano dispositivi IoT per lanciare attacchi DDoS contro organizzazioni globali.
La botnet Murdoc
Il team di Qualys ha scoperto “Murdoc”, una botnet formata da circa 1.300 dispositivi IoT infettati da una variante di Mirai. Questa sfrutta vulnerabilità note per compromettere telecamere AVTECH e router Huawei HG532.
“In questa campagna si osserva l’uso di file ELF e script Shell per implementare il malware,” ha spiegato il team di ricerca di Qualys. I dispositivi infetti – principalmente telecamere IP e dispositivi di rete – scaricano una variante della botnet Mirai dai server C2. Sono stati identificati oltre 100 set distinti di server C2, con la maggior parte degli apparecchi compromessi situati in Malesia, Thailandia, Messico e Indonesia.
Attacchi durante le festività
Tra il 27 dicembre 2024 e il 4 gennaio 2025, una botnet IoT composta da dispositivi infettati da varianti di Mirai e Bashlite (o Gafgyt) ha scatenato attacchi DDoS su larga scala contro aziende in Giappone, Stati Uniti, Russia ed Europa.
I ricercatori di Trend Micro hanno spiegato che il malware sfrutta vulnerabilità RCE o password deboli per infettare i dispositivi, eseguendo uno script di download che introduce un loader e successivamente il malware principale. Il payload, eseguito direttamente in memoria, evita di lasciare tracce sul dispositivo infetto.
Gli apparecchi compromessi vengono utilizzati per lanciare attacchi DDoS di vario tipo e possono essere trasformati in server proxy per attività illecite. La maggior parte dei dispositivi infettati apparteneva a router wireless TP-Link e Zyxel.
Mirai: una minaccia persistente
Il nome Mirai è divenuto famoso dopo gli attacchi DDoS contro il provider DNS Dyn nell’ottobre 2016, che causarono l’interruzione di molti servizi online. Dopo la pubblicazione del codice sorgente del malware, sono emerse numerose varianti.
Recentemente, Cloudflare ha segnalato che una botnet Mirai ha realizzato un attacco DDoS UDP da 5,6 Tbps – il più grande mai registrato – contro un ISP dell’Asia orientale. Questo attacco, che ha coinvolto oltre 13.000 dispositivi IoT, è durato 80 secondi ed è stato gestito con successo dai sistemi di difesa di Cloudflare.
Mirai continua a dimostrarsi una delle minacce informatiche più resilienti e pericolose, alimentata dall’inarrestabile diffusione di dispositivi IoT vulnerabili.