KrebsOnSecurity er ofte målet for misfornøyde nettkriminelle og har nå blitt målrettet av et stort og kraftig botnett.
Nettstedet, som drives av sikkerhetsekspert Brian Krebs, ble utsatt for et angrep av botnet “Meris” torsdag kveld.
Meris er et nytt botnett på scenen som drives av Internet of Things (IoT) -enheter. IoT-produkter, PC-er, hjemmemoduler-inkludert kameraer, videospillere, TV-er og rutere-som blir kapret, blir slave-noder i et botnets nettverk og kan deretter brukes til å utføre distribuerte denial-of-service (DDoS) angrep, blant andre funksjoner.
I dette tilfellet består Meris av et stort antall MikroTik -rutere. I følge Qrator Labs og Yandex dukket Meris først opp i slutten av juni og vokser fortsatt.
Meris kan tenke Mirai på tankene, et botnett som er kjent for å ha fjernet store deler av internett i 2016, men teamet sier at dette kanskje ikke er den riktige sammenligningen å gjøre på dette tidspunktet.
“Noen mennesker og organisasjoner kalte allerede botnettet” en retur av Mirai, “som vi ikke tror er nøyaktige,” sier Qrator Labs. “Mirai hadde et større antall kompromitterte enheter forent under C2C, og det angrep hovedsakelig med volumetrisk trafikk.”
Mirais kildekode ble senere lekket, noe som førte til at mange varianter dukket opp som fremdeles er i drift.
Krebs sier at DDoS -angrepet, om enn “barmhjertig kort”, var større enn det lansert mot KrebsOnSecurity i 2016 av en Mirai -operatør. Angrepet var stort nok til at Akamai, som hadde avverget tidligere angrep mot Krebs pro-bono, måtte avfeste domenet i lys av de potensielle konsekvensene for andre klienter.
Sikkerhetseksperten sier at mengden søppeltrafikk som ble lansert av botnettet var mer enn fire ganger så stor som Mirai, og nådde over to millioner forespørsler per sekund.
Domenet er nå beskyttet under Googles Project Shield.
Det er også mistanke om at Meris står bak to andre store angrep i år, søkemotoren Yandex i forrige uke, og et betydelig angrep mot Cloudflare i juli, med 17,2 millioner forespørsler per sekund.
MikroTik har utstedt en uttalelse på botnettet, og bemerker at kompromisset med enhetene ser ut til å stamme fra et sårbarhet som er lappet i RouterOS i 2018, snarere enn et null-dagers eller nytt sårbarhet.
“Dessverre beskytter ikke lukkingen av sårbarheten disse ruterne umiddelbart,” sa selskapet. “Hvis noen fikk passordet ditt i 2018, hjelper ikke bare en oppgradering. Du må også endre [passordet ditt], sjekke brannmuren din på nytt [så] det tillater ikke ekstern tilgang til ukjente parter, og se etter skript du gjorde ikke opprette. Vi har prøvd å nå alle brukere av RouterOS om dette, men mange av dem har aldri vært i kontakt med MikroTik og overvåker ikke enhetene sine aktivt. Vi jobber også med andre løsninger. ”
Tidligere og beslektet dekning
Denne ransomware-spredende skadelige botneten forsvinner bare ikke. Dette er grunnen til at Mozi-botnettet vil ligge på
Nå jakter denne botnettet på upatchet Microsoft Exchange -servere
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 