Brickerbot : Si Mirai ne vous suffisait pas

Sécurité : La société Radware alerte sur un nouveau malware s’attaquant aux objets connectés. Utilisant les mêmes méthodes que Mirai, ce logiciel malveillant vise cette fois à effacer purement et simplement tout logiciel présent sur le disque.

Sur son blog, Radware explique avoir découvert une nouvelle variante de Mirai d’un genre bien plus destructeur que le malware originel. Baptisé Brickbot, celui-ci vise purement et simplement à effacer le contenu de la mémoire de stockage de la machine, OS compris, la rendant complètement inutilisable.

Un comportement qui range Brickbot dans la catégorie des attaques PDOS, selon Radware : Permanent Denial Of Service, ce qui regroupe les malware visant à rendre la machine ciblée inutilisable de manière prolongée, voire qui imposent une réinstallation complète de l’OS et des logiciels après que la machine ait été infectée.

Brickerbot : Si Mirai ne vous suffisait pas - 2017 - 2018 

La suite de commandes utilisées par Brickerbox pour faire le ménage sur le disque des machines infectées. 

Radware a détecté cette attaque au travers de ses honeypots. Ceux-ci ont détecté dans un intervalle de temps très réduit deux botnets différents utilisés par les attaquants pour diffuser le malware. Ceux-ci appliquent une méthode similaire à celle utilisée par Mirai : le malware scanne le réseau à la recherche d’objets connectés disposant de connexions Telnet ouvertes. Une fois les cibles repérées, le malware tente de s’y connecter en utilisant les identifiants et mots de passe par défaut. Si ceux-ci ne sont pas sécurisés, le malware accède à la machine et exécute alors sa charge utile. Celle-ci va méthodiquement supprimer les données contenues dans les différents supports mémoires de l’appareil, avant de reconfigurer plusieurs paramètres du kernel visant à limiter la connectivité de l’appareil ainsi que sa puissance de calcul.

L’idée n’est donc pas ici d’exploiter la puissance de calcul de ces machines pour faire du Ddos à la façon de Mirai, mais bien de rendre inutilisables les appareils affectés. Deux botnets différents ont été repérés par Radware, qui note que ceux-ci ont tous deux été détectés à partir du 20 mars. Le second botnet exploite notamment Tor pour cacher l’origine exacte des commandes envoyées aux machines infectées.

Le but exact de la manœuvre reste difficile à expliquer, mais la typologie des cibles est en tout point similaire à celle visée par le malware Mirai. On peut donc s’interroger sur la manœuvre, d’autant que comme l’a montré l’enquête de KrebsOnSecurity sur les origines de Mirai, les auteurs de ce type de malware n’hésitent pas à se livrer une guerre parfois acharnée pour s’assurer le plus grand nombre de machines sous leur contrôle, allant parfois jusqu’à patcher les machines infectées afin d’empêcher que celles-ci soient compromises par d’autres. Peut-être qu’un nouveau venu, fatigué de ce petit manège, a donc choisi de prendre des mesures plus radicales pour résoudre à sa façon le problème de l’IoT.

Brickerbot : Si Mirai ne vous suffisait pas

Source : L’article Brickerbot : Si Mirai ne vous suffisait pas >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

Brickerbot : Si Mirai ne vous suffisait pas - 2017 - 2018
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-09-18T18:29:41+00:00

Laisser un commentaire