Europa vormt een rijke voedingsbodem voor thingbots. Die botnets zijn speciaal ontwikkeld voor IoT-apparaten. In de eerste helft van dit jaar waren er wereldwijd zo’n 30,6 miljoen thingbot-aanvallen. Dit is een stijging van 280 procent in vergelijking met het laatste halfjaar van 2016. Dit blijkt uit het Threat Intelligence-rapport van securityleverancier F5 Networks.
Volgens de onderzoekers komt 44 procent van de top-50 thingbot-aanvallende ip-adressen van hosting providers en komt 56 procent van internet service providers en telecomaanbieders.
F5 Networks stelt dat thingbots vandaag de dag het voorkeuzemiddel van cybercriminelen zijn voor het uitvoeren van onder meer DDoS-aanvallen. ‘Dat is niet vreemd gezien het feit dat er zo’n 8,4 miljard IoT-devices in gebruik zijn, waarvan verreweg het grootste deel toegankelijk is via Telnet en waarvan het leeuwendeel bovendien te hacken is vanwege gebrekkige beveiligingsmaatregelen’, zegt Dennis de Leest, System Engineer bij F5 Networks.
Het Threat Intelligence report geeft een wereldwijd inzicht in de drie recente thingbots: Mirai, Persirai en Raaper.
Mirai
De Mirai-botnet brak in september vorig jaar uit en trof honderdduizenden IoT-devices, waaronder CCTV, routers en DVR’s. Het onderzoeksrapport toont aan dat Europa de hoogste concentratie van Mirai-scanners heeft. Die scanners zoeken het internet af naar kwetsbare IoT-apparaten. De scanner geeft het ip-adres, het poortnummer en authenticatiegegevens terug aan de Mirai-laadsystemen.
Nederland is mede door de hoge internetdichtheid en de wijdverspreide IoT-adoptie binnen Europa het land met de hoogste concentratie Mirai-gerelateerde scanners, loaders en malwaresystemen. Wereldwijd is Nederland zelfs het land met de hoogste concentratie van malware-hosts.
Persirai
De Persirai-botnet is een variant van het Mirai-botnet. De thingbot is gericht op ip-camera’s van een Chinese oem. Via een kwetsbaarheid in de camera kregen cybercriminelen toegang tot het wachtwoordenbestand, om vervolgens commando-injecties uit te voeren. Twee maanden na de uitbraak in mei waren meer dan zeshonderdduizend camera’s geïnfecteerd, wat neerkomt op zo’n slordige tienduizend camera’s per dag.
De Persirai-activiteit kwam het meest voor in Europa, met het zwaartepunt op België, Nederland, het Verenigd Koninkrijk, Zwitserland, Italië, Denemarken en Polen.
Reaper
F5 Networks constateert in het eerste half jaar van 2017 een daling in de thingbot-varianten Mirai en Persirai. 93 procent van deze aanvallen vond plaats in januari en februari. Volgens de securityleverancier duidt dit er op dat er nieuwe soorten botnets komen.
En die nieuwe variant is al gevonden: Reaper. Die variant zoekt naar unpatched devices, om ze vervolgens aan het command en control platform toe te voegen. Het heeft binnen een maand meer dan een miljoen organisaties en devices wereldwijd geïnfecteerd.
Infosecurity.nl en Data & Cloud Expo
F5 Networks is exposant tijdens Infosecurity.nl en Data & Cloud Expo. Die gecombineerde ict-beurzen vinden plaats op woensdag 1 en donderdag 2 november 2017 in de Utrechtse Jaarbeurs. Tickets zijn gratis. U kunt zich hier registreren.
F5 Networks is te vinden op stand 01.D107. Daarnaast geeft Dennis de Leest op beide dagen om 14:00 uur het seminar ‘De cloud is zo lek als een mandje als de applicatiesecurity niet op orde is‘.
