新しい形式の攻撃コードが登場し、Mirai に似た技術を使用して IoT デバイスを永久に暗号化します。
3月20日、セキュリティ企業Radwareの研究者たちは、Brickbotと呼ばれるマルウェアが、同社がウェブ上に設置したハニーポットで出現しているのを発見しました。ハニーポットは4日間で、Brickbotによる感染試行を1,895件記録しており、攻撃の大部分はアルゼンチンから発信されていました。また、別のハニーポットでは333件の試行が記録されていましたが、これらの試行はTorノードから発信されていたため、追跡は不可能でした。
「ブリッカーボット攻撃は、被害者のデバイスに侵入するために、Mirai が使用したのと同じエクスプロイトベクトルである Telnet ブルートフォース攻撃を使用しました」と Radware の勧告には記載されています。
「Bricker はバイナリをダウンロードしようとしないため、Radware はブルート フォース攻撃に使用された認証情報の完全なリストを持っていませんが、最初に試行されたユーザー名とパスワードのペアが一貫して「root」/「vizxv」であったことを記録できました。」
このマルウェアは、BusyBoxツールキットを実行しているLinuxベースのIoTデバイスを標的としています。オペレーティングシステムに侵入すると、コードはrm -rf /*を使用してオンボードメモリを暗号化し、TCPタイムスタンプを無効化するとともに、カーネルスレッドの最大数を1に制限します。
このコードを実行するとデバイスはお別れになります
Brickerbotはその後、iptablesのファイアウォールとNATルールをすべて消去し、すべての送信パケットをドロップするルールを追加します。最終的に、影響を受けたデバイス上のすべてのコードを消去し、デバイスを使用不能にしようとします。これは、永続的なサービス拒否攻撃です。
攻撃を阻止するには、Telnetを無効化し、デバイスの工場出荷時に設定されたパスワードを変更することが重要です。Radwareは、侵入防止システムを使用してデバイスをロックダウンすることを推奨しています。®
