Gli esperti di Fortinet hanno rilevato un incremento delle attività di due botnet tra ottobre e novembre 2024. Ficora e Capsaicin, rispettivamente varianti di Mirai e Kaiten, sfruttano varie vulnerabilità dei router D-Link non più supportati dal produttore taiwanese o con firmware non aggiornato. Recentemente è stata scoperta una nuova botnet che colpisce i router del concorrente TP-Link.
Botnet per attacchi DDoS
I bersagli scelti dai cybercriminali sono i router D-Link DIR-645, DIR-806, GO-RT-AC750 e DIR-845L. Si tratta di vecchi modelli non più supportati, ma ancora utilizzati da singoli utenti e aziende. L’accesso iniziale avviene sfruttando diverse vulnerabilità dell’interfaccia HNAP (Home Network Administration Protocol), tra cui CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 e CVE-2024-33112, che consentono l’esecuzione di codice remoto.
Ficora ha colpito i router che si trovano in vari paesi. Dopo aver ottenuto l’accesso iniziale, il malware scarica ed esegue uno script di shell. Viene quindi installato il payload ed effettuato un attacco di forza bruta per individuare le credenziali di login (username e password). Ficora viene usata per diversi attacchi DDoS (UDP flooding, TCP flooding e DNS amplification).
Capsaicin ha invece colpito soprattutto i router che si trovano in Asia. I dispositivi sono infettati con uno script downloader che supporta varie architetture. Per ottenere l’accesso esclusivo, il malware cerca e disattiva i processi di altre botnet. Oltre che per attacchi DDoS viene utilizzata per raccogliere informazioni sui computer e rubare dati da inviare al server remoto.
Gli utenti devono sempre cambiare la password predefinita e installare il firmware più recente. Se non più supportato dal produttore, il router deve essere sostituito.
Ti potrebbe interessare
30 dic 2024