La botnet Mirai e i suoi discendenti. La variante mirai_ptea

Redazione RHC : 9 Luglio 2021 09:00

La botnet Mirai, da quando è apparsa sulla scena nel 2016, è stata collegata a una serie di attacchi DDoS su larga scala, incluso uno contro il provider di servizi DNS Dyn nell’ottobre 2016, che ha causato l’inaccessibilità delle principali piattaforme e servizi Internet agli utenti in Europa e Nord America.

Da allora, numerose varianti di Mirai sono apparse nel panorama delle minacce, in parte a causa della disponibilità del suo codice sorgente su Internet.

I ricercatori di sicurezza informatica hanno rivelato i dettagli di una nuova botnet ispirata a Mirai chiamata “mirai_ptea” che sfrutta una vulnerabilità zeroday nei videoregistratori digitali (DVR) forniti da KGUARD per propagare ed eseguire attacchi DDoS (Distributed Denial-of-Service).

La società di sicurezza cinese Netlab 360 ha isolato la falla, prima di aver rilevato tentativi di sfruttamento attivi da parte della botnet il 22 giugno 2021

I ricercatori hanno affermato che il firmware del DVR KGUARD aveva un codice vulnerabile prima del 2017 che consentiva l’esecuzione remota di comandi di sistema senza autenticazione.

Oltre a utilizzare Tor Proxy per comunicare con il server di comando e controllo (C2), un’analisi del campione di mirai_ptea ha rivelato un’ampia crittografia di tutte le informazioni, che vengono decodificate per stabilire una connessione con il server C2 e recuperare i comandi di attacco per l’esecuzione, incluso il lancio di attacchi DDoS.

Almeno circa 3.000 dispositivi esposti online sono suscettibili a questa vulnerabilità.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.