Unit42 ontdekt dat Mirai-variant ECHOBOT opnieuw de kop opsteekt

IoT-apparaten aangetast: online betalingssystemen en zelfs een besturingssysteem van een jacht waren doelwit

Een nieuwe variant van de alomtegenwoordige Mirai-malware verspreidt 71 unieke exploits op het internet. Dertien daarvan zijn nieuwe kwetsbaarheden die nog niet eerder zijn gezien.

Dat heeft het threat intelligence team Unit42 van Palo Alto Networks bekend gemaakt in een rapport dat maandag is uitgebracht. Hierin wordt het gebruik van “extreem oude CVE’s” door botnet-creërende malware (al in 2003) tot en met kwetsbaarheden die pas begin december 2019 openbaar werden gemaakt, beschreven.

Opgemerkt sinds mei 2019

De nieuwe Mirai-malware, ECHOBOT genaamd, werd voor het eerst gezien in mei 2019. De nieuwste versie dook 28 oktober 2019 voor het eerst op voor een paar uur, waarna de malware weer verdween.

Vervolgens dook het op 3 december weer op, waarbij het IP-adres van de payload werd gewijzigd en twee andere exploits werden toegevoegd die niet in de in oktober geanalyseerde malware zaten, blijkt uit het onderzoek van Unit42.

Doelwitten van Mirai zijn IoT-apparaten

Mirai richt zich meestal op Internet of Things (IoT)-apparaten en verandert ze vervolgens in ‘zombiemachines’ die kwaadaardig kunnen worden gebruikt. In dit geval richt Mirai zich op vaak voorkomende doelwitten zoals routers, firewalls, IP-camera’s en hulpprogramma’s voor serverbeheer, tot zeldzamere doelen zoals een online betalingssysteem en zelfs een webapplicatie voor jachten.

De nieuwe malware richt zich op apparaten die nog steeds in gebruik zijn, maar waarschijnlijk te oud zijn om te updaten vanwege compatibiliteitsproblemen en nieuwere kwetsbaarheden die te recent zijn voor de eigenaren om te patchen.

Het gehele onderzoek vind je hier.