Het Mirai-botnet werd voor het eerst ontdekt in 2016 en nam een ongekend aantal apparaten over en veroorzaakte enorme schade aan het internet. Nu is het terug en gevaarlijker dan ooit.
De nieuwe en verbeterde Mirai infecteert meer apparaten
Op 18 maart 2019, beveiligingsonderzoekers bij PaloAlto Networks onthulde dat Mirai is aangepast en bijgewerkt om hetzelfde doel op grotere schaal te bereiken. De onderzoekers ontdekten dat Mirai 11 nieuwe exporten gebruikte (waardoor het totaal op 27 kwam) en een nieuwe lijst met standaard beheerdersreferenties om te proberen. Sommige wijzigingen zijn gericht op zakelijke hardware, waaronder LG Supersign TV's en WePresent WiPG-1000 draadloze presentatiesystemen.
Mirai kan nog krachtiger zijn als het bedrijfshardware en bedrijfsnetwerken kan overnemen. Zoals Ruchna Nigam, een Senior Threat Researcher bij Palo Alto Networks, zegt:
Deze nieuwe functies veroorloven het botnet een groteaanval oppervlak. In het bijzonder biedt targeting enterprise links het ook toegang tot grotere bandbreedte, wat uiteindelijk resulteert in meer vuurkracht voor het botnet voor DDoS-aanvallen.
Deze variant van Miria blijft aanvallenconsumentenrouters, camera's en andere netwerkapparaten. Voor destructieve doeleinden geldt: hoe meer apparaten geïnfecteerd, hoe beter. Enigszins ironisch genoeg werd de kwaadaardige lading gehost op een website die een bedrijf promootte dat zich bezighield met 'Elektronische beveiliging, integratie en alarmbewaking'.
Mirai is een botnet dat IOT-apparaten aanvalt
Als je het niet meer weet, in 2016 het Mirai-botnetleek overal te zijn. Het was gericht op routers, DVR-systemen, IP-camera's en meer. Dit worden vaak IoT-apparaten (Internet of Things) genoemd en bevatten eenvoudige apparaten zoals thermostaten die verbinding maken met internet. Botnets werken door groepen computers en andere apparaten met internetverbinding te infecteren en vervolgens die geïnfecteerde machines te dwingen systemen aan te vallen of op een gecoördineerde manier aan andere doelen te werken.
Mirai ging na apparaten met standaard admininloggegevens, hetzij omdat niemand ze heeft gewijzigd, hetzij omdat de fabrikant ze heeft gecodeerd. Het botnet nam een enorm aantal apparaten over. Zelfs als de meeste systemen niet erg krachtig zouden zijn, zouden de enorme aantallen kunnen samenwerken om meer te bereiken dan een krachtige zombiecomputer alleen.
Mirai nam bijna 500.000 apparaten over. Met behulp van dit gegroepeerde botnet van IoT-apparaten, verlamde Mirai services zoals Xbox Live en Spotify en websites zoals BBC en Github door zich rechtstreeks op DNS-providers te richten. Met zoveel geïnfecteerde machines werd Dyn (een DNS-provider) uitgeschakeld door een DDOS-aanval met 1,1 terabyte aan verkeer. Een DDOS-aanval werkt door een doel met een enorme hoeveelheid internetverkeer te overstromen, meer dan het doel aankan. Hierdoor wordt de website of service van het slachtoffer naar een crawl gebracht of wordt deze volledig van internet verwijderd.
De originele makers van het Marai-botnetsoftware werd gearresteerd, schuldig bevonden en kreeg een proeftijd. Een tijd lang was Mirai stilgelegd. Maar genoeg van de code overleefde voor andere slechte acteurs om Mirai over te nemen en aan te passen aan hun behoeften. Nu is er een andere variant van Mirai.
VERWANT: Wat is een botnet?
Hoe u zichzelf kunt beschermen tegen Mirai
Mirai gebruikt, net als andere botnets, bekende exploits omval apparaten aan en breng ze in gevaar. Het probeert ook bekende standaardaanmeldingsreferenties te gebruiken om in het apparaat te werken en het over te nemen. Dus uw drie beste beschermingslijnen zijn eenvoudig.
Werk altijd de firmware (en software) van bijalles wat u thuis of op uw werkplek hebt dat verbinding kan maken met internet. Hacken is een kat-en-muisspel en zodra een onderzoeker een nieuwe exploit ontdekt, volgen patches om het probleem te verhelpen. Botnets zoals deze gedijen op niet-gepaarde apparaten, en deze Mirai-variant is niet anders. De exploits gericht op de zakelijke hardware werden afgelopen september en in 2017 geïdentificeerd.
VERWANT: Wat is firmware of microcode en hoe kan ik mijn hardware updaten?
Wijzig de beheerdersreferenties van uw apparaten(gebruikersnaam en wachtwoord) zo snel mogelijk. Voor routers kunt u dit doen in de webinterface of mobiele app van uw router (als die er is). Voor andere apparaten waarbij u zich aanmeldt met hun standaardgebruikersnaam of wachtwoord, raadpleegt u de handleiding van het apparaat.
Als u kunt inloggen met admin, wachtwoord of aleeg veld, dit moet u wijzigen. Zorg ervoor dat u de standaardreferenties wijzigt wanneer u een nieuw apparaat instelt. Als u al apparaten hebt ingesteld en het wachtwoord niet hebt gewijzigd, doet u dat nu. Deze nieuwe variant van Mirai richt zich op nieuwe combinaties van standaardgebruikersnamen en wachtwoorden.
Als de fabrikant van uw apparaat is gestopt met het uitgeven van nieuwe firmware-updates of als het de hardwarecode van de beheerdersreferenties heeft gecodeerd en u deze niet kunt wijzigen, kunt u overwegen het apparaat te vervangen.
De beste manier om te controleren is om bij u te beginnenwebsite van de fabrikant. Zoek de ondersteuningspagina voor uw apparaat en zoek naar meldingen met betrekking tot firmware-updates. Controleer wanneer de laatste is vrijgegeven. Als het jaren geleden is dat er een firmware-update is, ondersteunt de fabrikant het apparaat waarschijnlijk niet meer.
U kunt instructies vinden om de te wijzigenbeheerdersreferenties op de ondersteuningswebsite van de fabrikant van het apparaat. Als u geen recente firmware-updates of een methode kunt vinden om het wachtwoord van het apparaat te wijzigen, is het waarschijnlijk tijd om het apparaat te vervangen. U wilt niet iets permanent kwetsbaars verbonden laten met uw netwerk.
Uw apparaten vervangen lijkt misschien drastisch, maar alsze zijn kwetsbaar, het is je beste optie. Botnets zoals Mirai gaan niet weg. Je moet je apparaten beschermen. En door uw eigen apparaten te beschermen, beschermt u de rest van het internet.
