Nieuwe variant Mirai-malware misbruikt zwakke wachtwoorden IoT-apparaten

Beveiligingsonderzoekers van Trend Micro hebben een nieuwe variant van de Mirai-malware ontdekt dat zich richt op IoT-apparaten. De malware, Miori genoemd, wil die apparaten integreren in een groter botnet en DDoS-aanvallen lanceren. Dat meldt Security Intelligence.

De malware werd begin december ontdekt. Miori misbruikt een exploit in het ThinkPHP-framework. De remote code execution (RCE) kwetsbaarheid laat cybercriminelen machines met Linux infecteren en Miori uitvoeren. Vervolgens verschijnt er een notificatie op het apparaat van het slachtoffer.

Als de aanvallers via de command-and-control (C&C) server verifiëren dat een systeem is geïnfecteerd, gebruiken ze het Telnet-protocol en misbruiken ze zwakke of veelgebruikte wachtwoorden om brute-force-aanvallen uit te voeren op andere IP-adressen. In een screenshot van onderzoekers die Miori bekeken, worden een aantal wachtwoorden getoond die bij recente aanvalscampagnes gebruikt werden. Het ging onder meer om ‘admin123’, ‘root’ en ‘default’.

Mirai

Miori is slechts een van de vele variaties van Mirai die ontdekt zijn sinds de originele malware verscheen. In september 2016 verloren miljoen gebruikers bijvoorbeeld tijdelijk toegang tot het internet, nadat de malware zijn pijlen richtte op Dyn. Dyn biedt een significant deel van de ruggengraat van het internet. Grote telecommunicatie-bedrijven in Duitsland en het Verenigd Koninkrijk werden de afgelopen maanden het slachtoffer van vergelijkbare aanvallen gebaseerd op Mirai.

Naast Miori zijn ook Shinoa, APEP en IZ1H9 varianten op Mirai. Deze malware-varianten gebruiken dezelfde RCE-exploit om machines met op open source-gebaseerde besturingssystemen te vinden en te infiltreren.

Op Security Intelligence raden beveiligingsexperts raden aan om geen zwakke of veelgebruikte wachtwoorden in te zetten om IoT-apparaten te beschermen. Er wordt aangeraden om wachtwoorden te gebruiken die twaalf karakters of langer zijn, de wachtwoorden te back-uppen en een wachtwoordmanager te gebruiken. Daarnaast wordt het gebruik van multifactor authentication aangeraden. Die voegen een extra laag aan beveiliging toe aan verbonden apparaten, die kunnen helpen bij het beschermen tegen opkomende dreigingen.