Ricordate
Mirai? La botnet creata prendendo il controllo di migliaia di dispositivi
non proprio smart (telecamere IP, DVR, router...) ha aperto la strada a diverse varianti, che man mano vengono scoperte dalle aziende specializzate in sicurezza. Una ricerca portata avanti da
Insikt Group studiando i dati a disposizione e informazioni di threat intelligence liberamente disponibili indica ora che c'è stato almeno un utilizzo organizzato di una variante di Mirai per
l'attacco a istituzioni finanziarie. La notizia è rilevante in sé ma anche in relazione ad altri attacchi via botnet mirati proprio al settore Finance.
I ricercatori di Insikt
hanno identificato un primo attacco DDoS a una istituzione finanziaria avvenuto lo scorso
28 gennaio verso le 18.30. Una seconda realtà del mondo Finance è stata attaccata quasi simultaneamente, cosa che fa pensare a un uso simultaneo della stessa botnet per due attacchi. Un terzo attacco è stato identificato come avvenuto lo stesso giorno ma qualche ora più tardi, con oggetto una terza azienda. Insikt stima che il primo attacco abbia raggiunto un
volume di 30 Gbps con traffico generato da circa 13 mila dispositivi. Non ci sono informazioni altrettanto dettagliate per gli altri due attacchi.
La botnet usata per gli attacchi appare formata prevalentemente (80 percento) da
router MikroTik compromessi. Per questo la botnet, pur essendo distribuita in ben 139 nazioni (Italia compresa), è radicata prevalentemente in
Russia, Brasile e Ucraina: sono tre nazioni in cui questo brand lettone di dispositivi di rete è particolarmente diffuso. Il restante 20 percento della botnet comprende dispositivi di vario genere tra cui webcam, DVR e Smart TV.
L'analisi degli attacchi fa ipotizzare che la botnet coinvolta sia stata creata usando
Reaper, un malware che lo scorso anno ha creato la botnet IoTroop. Le varie software house di sicurezza che hanno analizzato Reaper ne hanno sottolineato la particolare pericolosità, dovuta al fatto che il suo codice può essere
aggiornato facilmente per sfruttare nuove vulnerabilità dei sistemi IoT man mano che esse vengono scoperte.
Gli attacchi dello scorso gennaio sono, secondo Insikt, una dimostrazione che l'utilizzo di botnet per scatenare attacchi DDoS contro istituzioni finanziarie sta diventando
un modus operandi sempre più diffuso. Questa tendenza si unisce con la
mancanza di sicurezza tipica di molti dispositivi IoT e genera un rischio potenziale molto elevato: è facile creare botnet IoT, con malware come Reaper è facile anche
mantenerle attive ed efficaci, "reclutando" sempre più dispositivi vulnerabili.