Botnets IoT trouvés utilisant des informations d’identification par défaut pour les bases de données C & C Server

Ne pas suivre les meilleures pratiques en matière de cybersécurité pourrait non seulement coûter aux utilisateurs en ligne, mais aussi coûter aux cybercriminels. Oui, parfois, les pirates informatiques ne prennent pas les meilleures mesures de sécurité pour protéger leur infrastructure.

Une variante de botnet IoT, appelée Owari , qui utilise des identifiants par défaut ou faibles pour pirater des périphériques IoT non sécurisés, a été trouvée en utilisant des identifiants par défaut dans son serveur MySQL intégré au serveur de commande et de contrôle (C & C).

Ankit Anubhav, le chercheur principal de la sécurité au sein du cabinet de sécurité IdO NewSky sécurité, qui a trouvé les réseaux de zombies, a publié un billet de blog au sujet de ses résultats plus tôt aujourd’hui, détaillant la façon dont les auteurs botnet se tenaient un nom d’ utilisateur de la semaine incroyablement combinaison de mot de passe pour la base de données de leur serveur C & C.

Devinez ce que les informations d’identification pourraient être ?
Nom d’utilisateur : root
Mot de passe : root

Ces informations de connexion ont permis à Anubhav d’accéder au botnet et d’obtenir des informations sur les périphériques infectés, les auteurs du botnet qui contrôlent le botnet et certains de leurs clients (utilisateurs de la boîte noire). Attaques DDoS.

"Outre les informations d’identification, la limite de durée, par exemple le nombre de bots disponibles pour l’attaque (-1 signifie que l’armée de botnet entière du botmaster est disponible) et le temps de recharge (intervalle de temps entre les deux attaques) peut également être observé », a écrit Anubhav.

En outre, Anubhav a également pu voir la limite de durée de l’attaque, par exemple combien de temps un client peut effectuer l’attaque DDoS, le maximum de robots disponibles pour une attaque et la liste des différentes adresses IP ciblées par l’attaque DDoS.

Anubhav a également trouvé un autre botnet, qui a également été construit avec une version d’Owari et sa base de données a également été exposée via des informations d’identification faibles.

Les serveurs C & C des deux botnets étaient situés à 80.211.232.43 et 80.211.45.89, qui sont maintenant déconnectés, car "les opérateurs de botnet sont conscients que leurs adresses IP seront bientôt signalées en raison du mauvais trafic réseau", écrit Anubhav. "Par conséquent, pour rester sous le radar, ils changent souvent volontairement les IP d’attaque."

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image