Un nuevo malware de Botnet llamado ‘Eleven11bot’ infectó más de 86,000 dispositivos IoT, principalmente cámaras de seguridad y grabadoras de video de red (NVR), para llevar a cabo ataques DDoS.
La botnet, que está vagamente vinculada a Irán, ya ha lanzado ataques de denegación de servicio distribuido (DDoS) dirigidos a proveedores de servicios de telecomunicaciones y servidores de juegos en línea.
Eleven11bot fue descubierto por investigadores de Nokia que compartieron detalles con la plataforma de vigilancia de amenazas de griseise.
El investigador de seguridad de Nokia, Jérôme Meyer, dijo que Eleven11bot es una de las botas DDoS más grandes que han observado en los últimos años.
“Principalmente compuesto por cámaras web y grabadoras de video de red (NVR), esta botnet se desarrolló rápidamente para superar los 30,000” “dispositivos” dijo Meyer en LinkedIn.
“Su tamaño es excepcional entre los botnets de los actores no estatales, lo que lo convierte en una de las campañas DDoS más grandes en Botnet conocidas desde la invasión de Ucrania en febrero de 2022”.
Más temprano en el día, la plataforma de monitoreo de amenazas The Shadowserver Foundation reportado Al ver 86,400 dispositivos infectados con la botnet Eleven11bot, con la mayoría en los Estados Unidos, el Reino Unido, México, Canadá y Australia.
Fuente: La Fundación Shadowserver
Meyer dice que los ataques de botnet han alcanzado varios cientos de millones de paquetes por segundo en volumen, y que su duración a menudo se extiende durante varios días.
Greynoise, con la ayuda de Censys, registró 1.400 IPS vinculados a la operación de Botnet en el último mes, incluido el 96% de dispositivos reales (no usurpados).
Fuente: Graynoise
La mayoría de estas direcciones IP se basan en Irán, mientras que más de trescientos son clasificados como maliciosos por Greynoise.
Greynoise informa que el malware se distribuye mediante información de administración de administración baja o común, aprovechando la información de identificación predeterminada conocida para modelos IoT específicos y digitalmente digitalmente redes para los puertos Telnet y SSH.
Greynoise tiene publicado Una lista de direcciones IP vinculadas a Eleven11bot y confirmada para llevar malware, de modo que se recomienda a los defensores que agregue esta lista a sus listas de bloqueo y monitoreen los intentos de conexión sospechosos.
En general, es aconsejable garantizar que todas las IOT realicen la última versión del firmware, que sus características de acceso remoto se desactiven si no es necesario y que la administración de la cuenta de administración predeterminada se haya modificado con algo fuerte y único.
Los IOT generalmente no se benefician del apoyo a largo plazo de sus proveedores, por lo tanto, periódicamente que sus dispositivos no han alcanzado el final de la vida (EOL) y el reemplazo de aquellos con modelos más recientes es crucial.