Oltre 6.000 Router Ancora Vulnerabili Mentre il Botnet Ballista si Espande

Image by Misha Feshchak, from Unsplash

Oltre 6.000 Router Ancora Vulnerabili Mentre il Botnet Ballista si Espande

Tempo di lettura: 3 Min.

Un nuovo botnet scoperto di recente, chiamato Ballista, sta prendendo di mira i router TP-Link Archer, sfruttando una nota vulnerabilità di sicurezza per diffondersi su internet, secondo i ricercatori di cybersecurity di Cato Networks.

In fretta? Ecco i fatti essenziali!

  • Oltre 6.000 router vulnerabili rimangono online nonostante l’avviso di correzione di CISA.
  • Ballista ha preso di mira organizzazioni negli Stati Uniti, Australia, Cina e Messico.
  • I ricercatori sospettano che il botnet possa consentire il furto di dati ed è in evoluzione su GitHub.

Il botnet sfrutta una vulnerabilità del firmware, identificata come CVE-2023-1389, che consente agli aggressori di ottenere l’accesso remoto ai router TP-Link non aggiornati.

L’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli Stati Uniti (CISA) ha già segnalato il difetto, esortando le agenzie a correggere i loro dispositivi. Nonostante ciò, rimangono online più di 6.000 router vulnerabili, secondo una ricerca sulla piattaforma di cybersecurity Censys.

Cato Networks ha rilevato per la prima volta la campagna Ballista il 10 gennaio, notando diversi tentativi di infiltrazione, con l’ultimo registrato il 17 febbraio.

Il malware del botnet consente agli aggressori di eseguire comandi sui dispositivi compromessi, sollevando preoccupazioni che il suo creatore – che si ritiene sia basato in Italia – possa avere obiettivi più ampi rispetto alle tipiche operazioni del botnet.

“Sospettiamo di aver intercettato questa campagna nelle sue fasi iniziali”, ha detto Matan Mittelman, leader del team di prevenzione delle minacce presso Cato Networks, come riportato da The Record. “Abbiamo notato la sua evoluzione, poiché in un breve lasso di tempo, l’attore della minaccia ha modificato il dropper iniziale per consentire connessioni più furtive al server C2 attraverso la rete Tor”, ha aggiunto.

Ballista ha già preso di mira organizzazioni nei settori della produzione, sanità, tecnologia e servizi in tutto gli Stati Uniti, Australia, Cina e Messico. Il malware prende completamente il controllo dei router infetti, legge i loro file di configurazione e poi si diffonde ad altri dispositivi.

Il team di sicurezza di Cato ha anche trovato prove che il botnet potrebbe essere capace di furto di dati. Mentre l’indirizzo IP originale collegato all’hacker non è più attivo, i ricercatori hanno scoperto una versione aggiornata del malware su GitHub, indicando che la campagna di attacco è in evoluzione.

I ricercatori di Cato hanno notato che la campagna sembra diventare sempre più sofisticata. Anche se il malware condivide alcune caratteristiche con altri botnet, rimane distinto da quelli ben noti come Mirai e Mozi.

L’incessante mira dei router internet da parte degli hacker non è una novità. Gli esperti dicono che i dispositivi IoT come i router sono obiettivi privilegiati a causa di password deboli, scarsa manutenzione e mancanza di aggiornamenti automatici di sicurezza.

Mittelman ha spiegato che nel corso degli anni, importanti botnet IoT come Mirai e Mozi hanno dimostrato quanto facilmente si possano sfruttare i router, e gli attori delle minacce ne hanno approfittato.

Ha sottolineato due fattori chiave che hanno contribuito al problema: gli utenti spesso trascurano di aggiornare il firmware dei loro router, e i produttori di router in genere non danno priorità alla sicurezza.

I router TP-Link sono stati un problema di sicurezza ricorrente. Il Wall Street Journal ha recentemente riportato che le agenzie statunitensi stanno considerando di bandirli a causa della ripetuta sfruttamento da parte di hacker cinesi.

Hai apprezzato questo articolo?
Valutalo!
L'ho odiato Non mi è piaciuto Non male Molto bene! L'ho amato!

Siamo felici che ti sia piaciuto il nostro lavoro!

In qualità di stimato lettore, ti dispiacerebbe lasciare una recensione su Trustpilot? Richiede poco tempo e significa tantissimo per noi. Grazie mille!

Valutaci su Trustpilot
0 Votato da 0 utenti
Titolo
Commento
Grazie per la tua opinione!
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Lascia un commento

Loader
Loader Mostra di più...