Il panorama della sicurezza informatica è costantemente in evoluzione, come dimostra la recente scoperta di una variante del botnet Mirai che sfrutta una vulnerabilità nei router industriali Four-Faith. Questa minaccia è emersa a novembre 2024 ed è stata utilizzata per condurre attacchi di denial-of-service distribuiti (DDoS). Il botnet, soprannominato "gayfemboy" a causa di un termine offensivo presente nel codice sorgente, mantiene attivi circa 15.000 indirizzi IP giornalieri, con infezioni sparse principalmente in Cina, Iran, Russia, Turchia e Stati Uniti.

Vulnerabilità sfruttata

La vulnerabilità sfruttata, identificata come CVE-2024-12856, è un bug di iniezione di comandi nel sistema operativo che colpisce i modelli di router F3x24 e F3x36. La scoperta di questo difetto è stata accompagnata da segnalazioni di attacchi in corso che sfruttano credenziali Telnet deboli e oltre 20 vulnerabilità di sicurezza note per ottenere l'accesso iniziale. Questo scenario evidenzia l'importanza cruciale della gestione delle credenziali e della sicurezza dei dispositivi IoT.

Comportamento del malware

Il malware, una volta attivato, cerca di nascondere i processi malevoli e utilizza un formato di comando basato su Mirai per scansionare dispositivi vulnerabili, aggiornarsi e lanciare attacchi DDoS su obiettivi specifici. Gli attacchi, che generano un traffico di circa 100 Gbps, hanno preso di mira centinaia di entità ogni giorno, raggiungendo un picco di attività tra ottobre e novembre 2024.

Annunci e allerta

L'annuncio della vulnerabilità arriva poco dopo l'allerta di Juniper Networks riguardante i prodotti Session Smart Router (SSR) con password predefinite, bersaglio di attacchi mirati per distribuire malware Mirai. Akamai ha inoltre rivelato infezioni da malware Mirai che sfruttano una falla di esecuzione di codice remoto nei DVR DigiEver.

Impatto dei DDoS

DDoS è ormai una delle forme più comuni e distruttive di attacchi informatici, caratterizzata da modalità di attacco diversificate e altamente nascoste. La capacità di adattarsi e evolversi rende questi attacchi una minaccia significativa per aziende, organizzazioni governative e utenti privati.

Misure di protezione

In un contesto di minacce crescenti, è essenziale che le aziende adottino misure proattive per proteggere le loro infrastrutture, migliorando la gestione delle vulnerabilità e implementando strategie di sicurezza aggiornate.