KrebsOnSecurity is vaak het doelwit van ontevreden cybercriminelen en is nu het doelwit van een groot en krachtig botnet.
De website, beheerd door beveiligingsexpert Brian Krebs, werd donderdagavond aangevallen door het “Meris”-botnet.
Meris is een nieuw botnet ter plaatse dat wordt aangedreven door Internet of Things (IoT)-apparaten. IoT-producten, pc's, thuisgadgets – inclusief camera's, videorecorders, tv's en routers – die worden gekaapt, worden slave-knooppunten in het netwerk van een botnet en kunnen vervolgens worden gebruikt om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren, onder meer andere functies.
In dit geval bestaat Meris uit een groot aantal MikroTik-routers. Volgens Qrator Labs en Yandex verscheen Meris voor het eerst eind juni en groeit nog steeds.
Meris doet misschien denken aan Mirai, een botnet dat bekend stond om het verwijderen van grote delen van het internet in 2016, maar het team zegt dat dit op dit moment misschien niet de juiste vergelijking is.
“Sommige mensen en organisaties noemden het botnet al “een terugkeer van Mirai”, wat volgens ons niet juist is”, zegt QRator Labs. “Mirai bezat een groter aantal gecompromitteerde apparaten verenigd onder C2C, en viel voornamelijk aan met volumetrisch verkeer.”
De broncode van Mirai werd later gelekt, waardoor er veel varianten verschenen die nog steeds in gebruik zijn.
Krebs zegt dat de DDoS-aanval, hoewel “gelukkig kort”, groter was dan die gelanceerd tegen KrebsOnSecurity in 2016 door een Mirai-operator. De aanval was zo groot dat Akamai, dat eerdere aanvallen tegen Krebs pro-bono had afgeslagen, het domein moest ontmeren in het licht van de mogelijke gevolgen voor andere klanten.
De beveiligingsexpert zegt dat het volume van het junkverkeer dat door het botnet werd gelanceerd meer dan vier keer zo groot was als dat van Mirai, met meer dan twee miljoen verzoeken per seconde.
Het domein is nu beschermd onder Google's Project Shield.
Er wordt ook vermoed dat Meris dit jaar achter twee andere grote aanvallen zit, die van zoekmachine Yandex vorige week, en een substantiële aanval op Cloudflare in juli, met een kloksnelheid van 17,2 miljoen verzoeken per seconde.
MikroTik heeft een verklaring afgegeven over het botnet, waarin wordt opgemerkt dat het compromitteren van zijn apparaten lijkt voort te komen uit een kwetsbaarheid die in 2018 in RouterOS is gepatcht, in plaats van een zero-day of nieuwe kwetsbaarheid.
“Helaas beschermt het sluiten van de kwetsbaarheid deze routers niet meteen”, aldus het bedrijf. “Als iemand je wachtwoord in 2018 heeft gekregen, zal alleen een upgrade niet helpen. Je moet ook [je] wachtwoord wijzigen, je firewall opnieuw controleren [zo] het staat geen externe toegang toe aan onbekende partijen en zoeken naar scripts die je hebt gedaan niet creëren. We hebben geprobeerd alle gebruikers van RouterOS hierover te bereiken, maar velen van hen hebben nog nooit contact gehad met MikroTik en houden hun apparaten niet actief in de gaten. We werken ook aan andere oplossingen.”
Eerdere en gerelateerde berichtgeving
Dit ransomware-verspreidende malware-botnet gaat gewoon niet weg
Dit is waarom het Mozi-botnet zal blijven hangen
Nu jaagt dit botnet op ongepatchte Microsoft Exchange-servers
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 