Malwarejægere slår alarm efter at have opdaget et stort botnet, der består af udtjente routere og IoT-enheder. Det skriver Security Week i en artikel i påskeugen.
Botnettet blev første gang observeret for 10 år siden. Det har nu vokset sig så stort, at det består af mere end 40.000 bots, som befinder sig i 88 lande. Botnettet drives af en cyberkriminel gruppe, der angiveligt har kørt en flerårig kampagne rettet mod udtjente small home/small office (SOHO)-routere og IoT-enheder rundt om i verden.
Amerikanske myndigheder har oplyst, at de har fjernet et botnet drevet af russiske cyberkriminelle.
Det skriver Security Week og en række andre medier på baggrund af en pressemeddelelse fra det amerikanske justitsministerium.
Botnettet havde angiveligt millioner af enheder verden over på samvittigheden og var oprindeligt rettet mod Internet of Things (IoT)-enheder - inklusive industrielle kontrolsystemer, routere, indholdsstreaming-enheder og forskellige smarte enheder - men udvidede senere til også at kompromittere Android-enheder og konventionelle computere.
Researchere er begyndt at advare om, at botnet-truslen kan stige, efterhånden som flere potentielle cyberkriminelle lærer at bygge deres eget botnet. Det skriver ZDNet i en analyse, efter at det kommet frem, at aktører på Dark Web er begyndt at tilbyde onlinekurser i udvikling og anvendelse at botnet.
Som ZDNet skriver, så fungerer det meget ligesom i den legitime verden, hvor der tilbydes undervisning i i cybersikkerhed og andre onlinefærdigheder.
Emotet botnettet er igen oppe at køre næsten ti måneder efter, at en lang række aktører med bl.a. Microsoft i spidsen satte sig for at udskadeliggøre Emotets command-and-controlservere.
Få dage efter at Microsoft gjorde verden bekendt med den såkaldte OMIGOD-sårbarhed i Azure via den månedlige Patch Tuesday, er Mirai-botnet begyndt at udnytte fejlen til at kompromittere sårbare systemer.
Det skriver Security Affairs.
Der er tale om fire alvorlige sårbarheder, der samlet har fået betegnelsen OMIGOD, i softwareagenten Open Management Infrastructure (OMI). Det er denne, der kan udsætte Azure-brugere for angreb.
Både Windows- og Linux-brugere bør være opmærksomme på en ny all-in-one-malware, som et sikkerhedsfirma nu advarer om.
Den ondsindede kode er blevet døbt XBash, og den inkluderer ransomware, kryptovaluta-mining og botnet i kombination med en selv-spredende orm.
Det er sikkerhedsfirmaet Palo Alto Networks, der har rapporteret om XBash.
Koden menes, at være forbundet til gruppen Iron Group/Rocke, som er en kinesisktalende gruppe, der også er i søgelyset i forbindelse med en række andre cyberangreb.
FBI forsøgte for halvanden uge siden at lukke ned for VPNFilter botnet, der på aggressiv vis havde kapret over 500.000 routere og NAS-enheder. Nu mener sikkerhedsforskere, at koden igen anvendes til nye angrebsforsøg.
Det er sikkerhedsanalytikere fra JASK og GreyNoise Intelligence, som advarer om, at den ondsindede kode igen forsøger at kompromittere routere og genskabe VPNFilter botnet efter FBIs nedlukning.
Angrebene ser dog i denne omgang ud til at koncentrere sig om Ukraine.
Kinesiske sikkerhedsforskere har opdaget et botnet, der inficerer Android-enheder via deres ADB-port (Android Debug Bridge). Porten er normalt lukket, medmindre producenten eller brugeren har åbnet den.
Ifølge sikkerhedsfirmaet Qihoo 360 installerer botnettet et program, der danner kryptovaluta af typen Monero.
Firmaet mener, at omkring 7.000 enheder er inficeret. De findes hovedsagelig i Kina og Sydkorea. Der kan både være tale om smartphones og fjernsyn.
Sikkerhedsfirmaet Proofpoint har siden maj måned observeret et botnet ved navn Smominru eller Ismo. Botnettet har inficeret over 526.000 Windows-computere, hvoraf de fleste antages at være servere.
Andre kilder anslår ifølge Bleeping Computer botnettet til en million inficerede computere.
Smominru spreder sig blandt andet ved at bruge EternalBlue-sårbarheden, som tidligere har været brugt af ormen WannaCry. Men det ser også ud til at kunne sprede sig ved at inficere MySQL og SQL Server.
Paras Jha på 21, Josiah White, 20 år, og Dalton Norman, 21 år, alle fra USA, har tilstået, at de stod bag Mirai-botnettet. Botnettet inficerede routere, sikkerhedskameraer og andet udstyr på internettet.
Bagmændene benyttede deres botnet til at gennemføre DDoS-angreb (Distributed Denial of Service).
To af dem drev et firma, som mod betaling beskyttede firmaer mod DDoS-angreb. Efter et angreb prøvede de enten at afpresse offeret, eller også solgte de tjenesteydelser, der skulle beskytte mod angreb.