Omkring dette tidspunkt sidste år, nogle af internettets mest populære hjemmesider var nede for størstedelen af dagen, og den skyldige var Mirai, et botnet, der var sammensat af IoT (Internet of Things) enheder. Det gennemføres massive DDoS-angreb, og der forårsagede bred Internet udfald. Og nu, en ny trussel er dukket op, og det ser ud til at være langt mere magtfulde i forhold til Mirai. Den nye malware er kendt som IoT Reaper, Reaper eller IoTroop, og det er ved at tage over unpatched enheder med en alarmerende hastighed, hvilket skaber en gigantisk IoT botnet.
Centrale forskelle mellem Reaper og Mirai
Forskere undersøger Reaper har bemærket, at det ser ud til at have lånt kode fra Mirai, men de to trusler er meget forskellige. For én, Mirai krakket svage brugernavne og adgangskoder for at komme ind i en Ti-enhed. Reaper, på den anden side, udnytter sårbarheder i IoT-systemer til at få kontrol over dem. Det er blevet bemærket, at Reaper primært består af exploits til ni kendte sårbarheder i enheder fra Dlink, Netgear, Linksys, Goahead, KÆBER, AVTECH og Vacron. Imidlertid udnytter tilføjet regelmæssigt.
Internet security company Qihoo 360 bemærker også, at Reaper kan holde sig under radaren på grund af dens non-aggressive scan adfærd, der er forskellig fra Mirai.
Reaper er stadig i de tidlige faser af udvidelse
Reaper er ved at udvide hver dag, hvilket er ret bekymrende, fordi det er ganske stort, selv nu. Med 10.000 nye enheder, hver dag, det er spekuleret, at den malware har inficeret mere end to millioner enheder allerede.
“IoT_reaper er ret stor nu, og er aktivt at udvide. For eksempel er der flere C2s vi er tracking, mest for nylig data (19 oktober) fra blot en C2 viser antallet af unikke aktiv bot IP-adresse er mere end 10k per dag. Mens på samme tid, er der millioner af potentielle sårbare enhed IPs bliver sat i kø i c2 systemet venter på at blive behandlet af et automatisk loader, der tilfører skadelig kode til enheder for at udvide størrelsen af botnet,” Qihoo 360 forskere forklare i en blog post.
Virksomheden også giver målinger på omfanget af infektionen:
- Antallet af sårbare enheder i én c2 kø venter på at blive inficeret : 2m;
- Inficerede robotter kontrolleret af en c2 i de sidste 7 dage: over 20k ;
- Antallet af daglige aktive robotter kontrolleret af en c2 : omkring 10k for i går(19 oktober) ;
- Antallet af samtidige on-line robotter kontrolleret af en c2 : omkring 4k
Reaper har ikke foretaget nogen angreb så langt, men det er sandsynligvis kun et spørgsmål om tid, og med en båd af denne størrelse, det kan gøre en masse skade. I den mellemliggende tid, der er noget, du kan gøre for at beskytte dine enheder, tingenes internet fra at blive overtaget af Reaper. Opdatere dem. Ikke patching af software synes at være et ret stort problem for ikke kun organisationer, men individuelle brugere. Og det kan have meget alvorlige konsekvenser, derfor anvende alle tilgængelige opdateringer til alle dine enheder med det samme.