Botnet udnytter AWS-nedbrud til globalt angreb – ramte 28 lande

Eskil Sørensen

11.28.2025 13:05

Kan være en generalprøve på langt større angreb.

Et Mirai-baseret botnet, kaldet ShadowV2, dukkede op under Amazons omfattende AWS-nedbrud i oktober og inficerede tusindvis af IoT-enheder på tværs af industrier og kontinenter. Ifølge Fortinet’s FortiGuard Labs kan angrebet have været en testkørsel for fremtidige kampagner.

Det skriver The Register.

Et angreb i skyggen af et nedbrud

AWS-nedbruddet, der varede en hel dag i oktober og lagde store websites ned, skabte angiveligt et perfekt vindue for ShadowV2. Mens virksomheder kæmpede med at genetablere driften, udnyttede botnettet en række kendte sårbarheder i IoT-udstyr fra flere producenter. Blandt de udnyttede svagheder var gamle og nyere sårbarheder i firmware fra DD-WRT, D-Link, DigiEver, TBK og TP-Link. Disse sårbarheder gjorde det muligt for angriberne at installere et downloader-script, der hentede ShadowV2-malware fra en ekstern server.

ShadowV2 ramte 28 lande, herunder USA, Canada, Brasilien, Storbritannien, Frankrig, Rusland, Kina, Japan og Australien. De berørte sektorer spænder fra teknologi og telekommunikation til detailhandel, produktion, hospitality, offentlige myndigheder og uddannelse.

Selvom botnettet kun var aktivt under AWS-nedbruddet, vurderes det til at kunne være en forløber for mere omfattende angreb. Kort efter rapporterede Microsoft om det hidtil største cloud-baserede DDoS-angreb mod Azure – 15,72 Tbps og 3,64 milliarder pakker pr. sekund – udført af et andet botnet, Aisuru.

IoT-enheder - et svagt led

The Register skriver, at ShadowV2 afslører en velkendt sandhed: IoT-enheder er stadig det svage led i cybersikkerhedskæden. Når enheder med kendte sårbarheder kobles til kritiske infrastrukturer, kan de hurtigt blive en del af globale botnets, der udnytter selv kortvarige cloud-udfald.

Derfor lyder opfordringen, at organisationer straks bør gennemgå deres IoT-sikkerhed. Det betyder opdatering af firmware, deaktivering af unødvendige tjenester og brug af stærke adgangskoder. Angrebet viser, at selv en kortvarig cloud-nedetid kan blive udnyttet til at opbygge en global botnet-infrastruktur.

Læs mere

https://www.theregister.com/2025/11/26/miraibased_botnet_shadowv2/

Sikkerhedshændelse