Secondo quanto riportato dal blog di Kaspersky Lab, ci sarebbe all’orizzonte una nuova versione di Mirai, una botnet che si auto-propaga e che colpisce i dispositivi IoT e che nel 2016 è stata la causa di un attacco DDoS massivo sui server Dyn. Secondo gli analisti questa botnet è dotata di una gamma molto più vasta di exploit, che la rende più pericolosa ed in grado di diffondersi con maggiore rapidità. L’aspetto più preoccupante è che questa nuova variante non colpisce solo le vittime tradizionali (dispositivi come router, telecamere IP etc), ma anche dispositivi specifici IoT per le aziende.

Non dovremmo però sorprenderci più di tanto, anche perché il codice sorgente del malware Mirai è stato filtrato tempo fa e praticamente quasi tutti i cybercriminali con conoscenze sufficienti di programmazione possono utilizzarlo. Per questo motivo il nome Mirai appare di frequente nel report di Securelist dei DDoS dell’ultimo trimestre del 2018. Secondo l’ultimo report di Kaspersky Lab sulle minacce che colpiscono l’Internet delle Cose, le varianti di Mirai sono state responsabili del 21% di tutte le infezioni che hanno interessato i dispositivi IoT.

Dal momento che il codice di Mirai è molto flessibile e può essere adattato alle esigenze dei cybercriminali, vi si possono aggiungere nuovi exploit per raggiungere una gamma più vasta di obiettivi. Ed è ciò che è avvenuto di recente; oltre a una nuova serie di exploit per colpire dispositivi tradizionali (ovvero router, punti di accesso, modem ADSL, telecamere di rete), ora la variante di Mirai può colpire dispositivi aziendali come controller wireless di grande capacità e per grandi aziende, sistemi di digital signage e sistemi di presentazione wireless.

image12-mirai

Secondo gli analisti di Palo Alto Networks, nell’elenco dei nuovi potenziali obiettivi di Mirai possiamo includere i seguenti prodotti, sebbene gli esperti si aspettino nuove ondate di infezioni che potrebbero interessare anche dispositivi IoT industriali.

  • Sistemi di presentazione wireless WePresent WiPG-1000
  • TV LG Supersign
  • Telecamere di rete DLink DCS-930L
  • Router DLink DIR-645 e DIR-815
  • Router Zyxel P660HN-T
  • Dispositivi Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660 e WNDAP620, Netgear DGN2200 N300 Wireless ADSL2+ modem router
  • Controller wireless Netgear Prosafe WC9500, WC7600 e WC7520

Come proteggere i dispositivi

Per evitare che i vostri dispositivi vengano coinvolti nella botnet Mirai, Victor Chebyshev di Kaspersky Lab consiglia alle aziende di:

  • Installare patch e aggiornamenti firmware su tutti i dispositivi e i sistemi non appena disponibili
  • Monitorare il volume del traffico proveniente da ogni dispositivo. I dispositivi infetti generano un traffico di gran lunga superiore
  • Modificare sempre le password preimpostate e organizzare una politica di creazione di password più robusta, da far applicare ai dipendenti
  • Riportare un dispositivo alle impostazioni di fabbrica quando sembra comportarsi in maniera strana. In alcuni casi ciò più aiutare a sbarazzarsi da un malware già esistente ma non evita future infezioni