La botnet Mirai e i suoi discendenti. La variante mirai_ptea

Redazione RHC : 9 Luglio 2021 09:00

La botnet Mirai, da quando è apparsa sulla scena nel 2016, è stata collegata a una serie di attacchi DDoS su larga scala, incluso uno contro il provider di servizi DNS Dyn nell’ottobre 2016, che ha causato l’inaccessibilità delle principali piattaforme e servizi Internet agli utenti in Europa e Nord America.

Da allora, numerose varianti di Mirai sono apparse nel panorama delle minacce, in parte a causa della disponibilità del suo codice sorgente su Internet.

I ricercatori di sicurezza informatica hanno rivelato i dettagli di una nuova botnet ispirata a Mirai chiamata “mirai_ptea” che sfrutta una vulnerabilità zeroday nei videoregistratori digitali (DVR) forniti da KGUARD per propagare ed eseguire attacchi DDoS (Distributed Denial-of-Service).

Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

La società di sicurezza cinese Netlab 360 ha isolato la falla, prima di aver rilevato tentativi di sfruttamento attivi da parte della botnet il 22 giugno 2021

I ricercatori hanno affermato che il firmware del DVR KGUARD aveva un codice vulnerabile prima del 2017 che consentiva l’esecuzione remota di comandi di sistema senza autenticazione.

Oltre a utilizzare Tor Proxy per comunicare con il server di comando e controllo (C2), un’analisi del campione di mirai_ptea ha rivelato un’ampia crittografia di tutte le informazioni, che vengono decodificate per stabilire una connessione con il server C2 e recuperare i comandi di attacco per l’esecuzione, incluso il lancio di attacchi DDoS.

Almeno circa 3.000 dispositivi esposti online sono suscettibili a questa vulnerabilità.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.