Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили новую версию ботнета Mirai, которая за последние месяцы массово атаковала цифровые видеорегистраторы в разных странах, используя известную уязвимость. Большинство инцидентов приходится на Россию, Китай, Египет, Индию, Бразилию и Турцию. Специалисты предупреждают, что под угрозой могут быть ещё более 50 тыс. уязвимых устройств по всему миру.

Чем известен ботнет Mirai. Mirai — одна из наиболее серьёзных угроз для интернета вещей в настоящее время. Распространению ботнета способствует использование слабых паролей, а также устаревшего программного обеспечения с незакрытыми уязвимостями. Это позволяет злоумышленникам создавать масштабные сети заражённых компьютеров, в частности для совершения DDoS-атак и кражи конфиденциальных данных.

Новая модификация Mirai. Чтобы отслеживать атаки на интернет вещей, «Лаборатория Касперского» создаёт специальные приманки (honeypots). Анализируя активность вокруг таких ловушек, эксперты Kaspersky GReAT обнаружили попытку развернуть бот с использованием известной уязвимости CVE-2024-3721 — им оказалась новая модификация Mirai.

В текущей вредоносной кампании основной целью ботнета стали цифровые видеорегистраторы (DVR, Digital Video Recorder). Они используются во многих отраслях, в том числе для обеспечения общественной безопасности и защиты инфраструктуры предприятий. DVR-устройства записывают и обрабатывают данные с камер, установленных в жилых домах, супермаркетах, офисах и складах, а также на территории заводов, аэропортов, железнодорожных станций и образовательных учреждений.

Опасность новой версии Mirai заключается в том, что в ней реализованы механизмы для обнаружения и обхода сред виртуальных машин (VM) и эмуляторов — инструментов, которые обычно ИБ-специалисты применяют для анализа вредоносного ПО. Это позволяет ботнету оставаться незаметным и продолжать вредоносную активность на заражённых устройствах.

«Исходный код Mirai был опубликован в сети около десяти лет назад. С тех пор разные группы злоумышленников адаптировали и модифицировали его, чтобы создавать масштабные ботнеты, в основном для DDoS-атак или кражи информации. Множество таких ботов постоянно ищет новые устройства для заражения — для этого используются недоработки, которые не были своевременно устранены в IoT-устройствах и серверах. Проанализировав открытые источники, в рамках новой кампании мы обнаружили в сети более 50 тыс. уязвимых цифровых видеорегистраторов в разных странах. Это говорит о том, что у обнаруженной версии Mirai есть много потенциальных мишеней для атак», — сказал Дмитрий Галов, руководитель Kaspersky GReAT в России.

Согласно телеметрии «Лаборатории Касперского», в 2024 г. по всему миру совершено 1,7 млрд атак на устройства интернета вещей. Чтобы минимизировать риск заражения приборов, эксперты компании рекомендуют: не использовать логины и пароли, установленные на гаджете по умолчанию, — рекомендуется сразу после покупки заменить их на сложные и уникальные комбинации; регулярно обновлять программное обеспечение, чтобы своевременно устранять известные уязвимости; отключить возможность удалённого доступа к устройству, если в этом нет необходимости; по возможности выделить IoT-устройства в отдельные изолированные сети; отслеживать необычный сетевой трафик, чтобы вовремя обнаружить потенциальные угрозы.

Короткая ссылка