Mirai è tornata e mira all’utente in azienda

La famigerata botnet Mirai sta tornando dopo alcuni ricercatori di sicurezza hanno scoperto che una forma variante del malware ha iniziato a puntare le TV e i sistemi di presentazione wireless. La modifica del codice è conosciuta almeno dall’inizio del 2019 ma solo nelle ultime settimane la botnet è risultata “attiva”, dunque pronta a mietere nuove vittime. Il fatto di essere comparsa massivamente a danno di televisori connessi e strumenti aziendali non è casuale: dopo aver mirato ai dispositivi smart casalinghi, ora Mirai è una minaccia per le organizzazioni e gli utenti professionali, o meglio, agli oggetti da questi usati durante il loro lavoro. Le indagini iniziali hanno rilevato che il malware di base è stato aggiornato con funzionalità aggiuntive, tra cui 11 exploit incentrati sull’IoT in ambienti aziendali.

Come al solito, Mirai è composto da un malware che infetta i dispositivi connessi non adeguatamente protetti, in particolare quelli con nomi utente e password di default, gli stessi imposti dai produttori. Una volta infettato, ogni device può essere sfruttato come parte di un attacco DDoS su larga scala, che travolge un server particolare sovraccaricandolo di un traffico web maggiore a quello che può gestire, disabilitandolo completamente. La nuova ondata rappresenta un grave rischio per le aziende di tutti i settori, visto che l’IoT è diventato una caratteristica fondamentale di molti contesti operativi.

La prima apparizione di Mirai risale al settembre del 2016, quando OVH (una società francese di cloud computing) venne colpita da un potente attacco DDoS. Dopo l’accaduto, il creatore del malware ha pubblicato il codice sorgente online, rapidamente raccolto da altri potenziali operatori di botnet. Il 12 ottobre 2016, Mirai viene usata per lanciare un immenso attacco a livello di rete contro Dyn, società di infrastrutture leader del settore che fornisce servizi DNS a diversi siti di alto profilo, tra cui GitHub, Twitter, Reddit e Netflix. Solo un mese dopo, ecco il blocco dei router Deutsche Telekom, capace di interessare 900 mila clienti.

Mitigare gli effetti del malware Mirai è estremamente difficile, poiché ogni nuova variante aumenta le capacità della botnet di espandersi in reti con maggiore larghezza di banda disponibile. Ad ogni modo, non è la prima volta che Mirai punta ai profili aziendali. Le precedenti iterazioni del malware sono state principalmente utilizzate per infettare il mondo consumer, inclusi router, modem e set-top-box; il nuovo ceppo invece è stato progettato apposta per infettare altre tipologie di prodotti, con obiettivi di intrusione ben specifici. Il modo migliore per proteggersi è rafforzare i propri protocolli di sicurezza. Inoltre, urge sempre la necessità, per i responsabili aziendali, di aggiornare le credenziali per tutti i dispositivi prima che siano completamente distribuiti, poiché il malware Mirai si diffonde in genere attraverso le porte Telnet esposte, che usano nomi utente e password predefiniti.

In tal senso, una precauzione efficace è investire in server sicuri e scalabili, che consentono una gestione del data center remota semplificata e un’ottimizzazione delle risorse IT, perché è solo questione di tempo prima che i criminali informatici sviluppino una variante focalizzata su un’industria di riferimento. Per evitare che i dispositivi cadano vittima della botnet Mirai, il consiglio è di:

1) Installare patch e aggiornamenti del firmware su tutti i dispositivi e sistemi non appena vengono emessi;

2) Monitorare il volume del traffico proveniente da ogni dispositivo, perché quelli infetti ne avranno uno significativamente più alto;

3) Sostituire sempre le password preinstallate e applicare una politica efficace per i dipendenti

4) Ripristinare una macchina se si ritiene che stia agendo in modo strano. Questo potrà eliminare il malware esistente ma non ridurrà il rischio di ulteriori infezioni.