Rundt denne tiden i fjor, noen av nettets mest populære nettsidene var nede for de fleste av dagen, og den skyldige var Mirai, et botnet som besto av IoT (Internet of Things) enheter. Det er gjennomført massive DDoS-angrep, og som forårsaket bredt brudd på Internett-tilkoblingen. Og nå, en ny trussel har dukket opp, og det ser ut til å være mye kraftigere i forhold til Mirai. Den nye malware er kjent som IoT Reaper, Reaper eller IoTroop, og det er å ta over oppdaterte enheter i et alarmerende hastighet, og skaper en gigantisk IoT botnet.
Viktige forskjeller mellom Reaper og Mirai
Forskere undersøker Reaper har lagt merke til at det ser ut til å ha lånt koden fra Mirai, men de to truslene er svært ulike. For en, Mirai sprukket svak brukernavn og passord for å komme inn i et IoT enheten. Reaper, på den annen side, tar seg av sårbarheter i IoT systemer for å få kontroll over dem. Det har blitt bemerket at Reaper primært inkluderer utnytter for ni kjente sårbarheter i enheter fra Dlink, Netgear, Linksys, sin tilslutning, KJEVER, AVTECH og Vacron. Imidlertid, utnytter blir lagt til jevnlig.
Internet security selskap Qihoo 360 bemerker også at Reaper kan holde seg under radaren på grunn av sin ikke-aggressive scan atferd, som er forskjellig fra Mirai.
Reaper er fortsatt i tidlig fase av utvidelse
Reaper er å utvide hver dag som er ganske bekymringsfullt fordi det er ganske stor selv nå. Med 10 000 nye enheter hver dag, det er spekulert i at skadelig programvare har infisert mer enn to millioner enheter allerede.
«IoT_reaper er ganske stor nå, og er aktivt å utvide. For eksempel, det finnes flere C2s vi er sporing, sist data (oktober 19) fra bare ett C2 viser antall unike aktive bot IP-adresse er mer enn 10k per dag. Mens på samme tid, det er millioner av potensielle sårbare enheten IPs blir kø i c2-systemet venter på å bli behandlet av en automatisk loader at overfører skadelig kode til enheter for å utvide størrelsen på botnettet,» Qihoo 360 forskere forklare på en blogg post.
Selskapet gir også målinger på skalaen for infeksjon:
- Antall sårbare enheter i en c2-kø som venter på å bli infisert : over 2m;
- Infiserte roboter styrt av en c2 i siste 7 dager: over 20k ;
- Antall daglige aktive roboter styrt av en c2 : rundt 10k for i går(oktober 19) ;
- Antall samtidige on-line roboter styrt av en c2 : rundt 4k
Reaper er det ikke gjennomført noen angrep så langt, men det er mest sannsynlig bare et spørsmål om tid, og med en bot av denne størrelsen, kan det gjøre mye skade. I mellomtiden, det er noe du kan gjøre for å beskytte din IoT enheter fra å bli overtatt av Reaper. Oppdatere dem. Ikke patching opp programvaren ser ut til å være et ganske stort problem for ikke bare organisasjoner, men enkelte brukere også. Og det kan ha svært alvorlige utfall, derfor gjelder alle tilgjengelige oppdateringer til alle dine enheter umiddelbart.