Key takeaways
- Säkerhetsexperter har upptäckt en ny skadlig programvara som attackerar internetanslutna enheter som routrar och säkerhetskameror för att koppla in dem i ett botnät.
- Malware-författare letar alltid efter sätt att bryta sig in i internet-exponerade enheter för att använda dem för alla typer av elaka ändamål, varnar experter.
-
Experter föreslår att människor kan förhindra sådana attacker genom att installera säkerhetskorrigeringar utan dröjsmål och använda helt uppdaterade antimalware-produkter.
Explosionen av oövervakade plug-in-och-glöm internetanslutna smarta enheter utsätter inte bara deras ägare för risker utan kan också användas för att få ner populära webbplatser och tjänster.
Forskare har nyligen upptäckt en ny stam av skadlig programvara som attackerar säkerhetssårbarheter i flera routrar. När de väl är infekterade, är de komprometterade routrarna inkapslade i skadliga botnät som cyberbrottslingar använder för att attackera en webbplats eller onlinetjänst med skräptrafik och strypa dem ur drift. Detta är känt som en DDoS-attack (distributed denial of service) på cybersäkerhetsspråk.
"Tyvärr finns det alldeles för många dåligt skyddade system som lätt kan samordnas i dessa attacker", sa Ryan Thomas, VP of Product Management på leverantören av cybersäkerhetslösningar LogicHub, till Lifewire via e-post. "Nyckeln för slutanvändare är att inte vara ett av dessa enkla mål."
We Are the Borg
Forskare vid cybersäkerhetsföretaget Fortinet stötte på en ny variant av ett populärt skadligt program med botnet-roping som hade lärt sig nya knep för att assimilera konsumentroutrar. Enligt deras observationer har de dåliga aktörerna bakom botnätet Beastmode (alias B3astmode) "aggressivt uppdaterat sin arsenal av utnyttjande", och lagt till tot alt fem nya utnyttjar, där tre av dem attackerar sårbarheter i Totolink-routrarna.
Särskilt att denna utveckling kom strax efter att Totolink hade släppt firmwareuppdateringar för att åtgärda de tre kritiska sårbarheterna. Så även om sårbarheterna har åtgärdats, satsar angriparna på det faktum att många användare tar tid innan de uppdaterar den fasta programvaran på sina enheter, och vissa gör det aldrig.
Beastmode-botnätet lånar sin kod från det mycket potenta Mirai-botnätet. Innan de arresterades 2018 hade Mirai botnätoperatörer öppen källkod för deras dödliga botnät, vilket gjorde det möjligt för andra cyberkriminella som Beastmode att kopiera den och ingjuta nya funktioner för att utnyttja fler enheter.
Enligt Fortinet, utöver Totolink, riktar sig Beastmode-skadlig programvara även mot sårbarheter i flera D-Link-routrar, en TP-Link IP-kamera, nätverksvideoinspelningsenheter från Nuuo, såväl som Netgears ReadyNAS Surveillance-produkter. Oroväckande nog har flera riktade D-Link-produkter lagts ned och kommer inte att få en säkerhetsuppdatering från företaget, vilket gör dem sårbara.
"När enheter är infekterade av Beastmode kan botnätet användas av dess operatörer för att utföra en mängd olika DDoS-attacker som är vanliga i andra Mirai-baserade botnät", skrev forskarna.
Botnätoperatörer tjänar pengar genom att antingen sälja sitt botnät som består av flera tusen komprometterade enheter till andra cyberbrottslingar, eller så kan de själva starta DDoS-attacker och sedan kräva en lösensumma från offret för att upphöra med attackerna. Enligt Imperva kan DDoS-attacker som är kraftfulla nog att förlama en webbplats i dagar köpas för så lite som $5/timme.
routrar och mer
Medan Fortinet föreslår att människor tillämpar säkerhetsuppdateringar på alla sina internetanslutna enheter utan någon fördröjning, föreslår Thomas att hotet inte bara är begränsat till enheter som routrar och andra Internet of Things-enheter (IoT) som babymonitorer och hemsäkerhetskameror.
"Skadlig programvara blir mer lömsk och smart på att få slutanvändarsystem att bli en del av ett botnät", påpekade Thomas. Han föreslog att alla PC-användare skulle se till att deras antimalware-verktyg förblir uppdaterade. Dessutom bör alla göra allt de kan för att undvika misstänkta webbplatser, såväl som nätfiskeattacker.
Enligt TrendMicro är en okarakteristiskt långsam internetuppkoppling ett av tecknen på en komprometterad router. Många botnät ändrar också inloggningsuppgifterna för en komprometterad enhet, så om du inte kan logga in på din internetanslutna enhet med befintliga referenser (och du är säker på att du inte knappar in fel lösenord), finns det en stor chans att skadlig programvara har infiltrerat din enhet och ändrat dess inloggningsuppgifter.
När det kommer till skadlig programvara som infekterar datorer, sa Thomas att konsumenterna borde göra det till en vana att övervaka CPU-användningen av sina system med jämna mellanrum. Detta beror på att många botnät också inkluderar kryptominerande skadlig kod som stjäl och slänger din dators processor för att bryta kryptovalutor.
"Om ditt system körs snabbt utan uppenbara anslutningar kan detta vara ett tecken på att det är en del av ett botnät", varnade Thomas. "Så när du inte använder din bärbara dator, stäng av den helt."
