Botnet Eleven11bot

Un malware botnet appena scoperto, denominato Eleven11bot, ha infettato oltre 86.000 dispositivi IoT, con telecamere di sicurezza e videoregistratori di rete (NVR) come obiettivi principali. Questa botnet di grandi dimensioni viene utilizzata per lanciare attacchi DDoS (Distributed Denial of Service), dando origine all'interruzione dei servizi di telecomunicazione e dei server di gioco online.

Una botnet di portata senza precedenti

Secondo i ricercatori di sicurezza, Eleven11bot è una delle più grandi botnet DDoS osservate negli ultimi anni. Inizialmente composta da oltre 30.000 webcam e NVR compromessi, la botnet è ora cresciuta fino a 86.400 dispositivi. Questa rapida espansione la rende una delle campagne botnet più significative viste dall'invasione dell'Ucraina nel 2022.

La maggior parte dei dispositivi infetti è stata individuata negli Stati Uniti, nel Regno Unito, in Messico, in Canada e in Australia, con un numero notevole di casi riconducibili all'Iran.

Capacità di attacco massicce

La portata degli attacchi di Eleven11bot è allarmante. La botnet è in grado di lanciare attacchi che raggiungono centinaia di milioni di pacchetti al secondo, alcuni dei quali durano diversi giorni. Gli esperti di sicurezza hanno identificato 1.400 IP collegati alle operazioni della botnet nell'ultimo mese, il 96% dei quali provenienti da dispositivi reali, non da indirizzi falsificati. La maggior parte di questi IP è riconducibile all'Iran, con oltre 300 classificati come dannosi.

Come si diffonde l’infezione

Eleven11bot si diffonde principalmente tramite attacchi brute-force su credenziali di amministratore deboli su dispositivi IoT. Sfrutta le credenziali di accesso predefinite, che spesso rimangono invariate, ed esegue attivamente la scansione delle porte Telnet e SSH esposte per infiltrarsi nei dispositivi. Questo metodo consente al malware di espandersi rapidamente su reti vulnerabili.

Come proteggere i tuoi dispositivi IoT

Per ridurre il rischio di infezione e proteggere i tuoi dispositivi IoT, è fondamentale implementare una serie di best practice progettate per impedire l'accesso non autorizzato e proteggere dalle vulnerabilità. Ecco alcune strategie chiave da considerare:

1. Aggiorna regolarmente il firmware : uno dei passaggi più importanti per proteggere i dispositivi IoT è mantenere aggiornato il firmware. I produttori rilasciano spesso aggiornamenti del firmware per correggere le vulnerabilità di sicurezza appena scoperte. Questi aggiornamenti sono progettati per correggere i difetti di cui gli aggressori potrebbero abusare per ottenere l'accesso ai tuoi dispositivi. Gli aggiornamenti automatici dovrebbero essere abilitati ove possibile, ma è anche una buona idea controllare periodicamente gli aggiornamenti manuali. Non aggiornare regolarmente il firmware potrebbe esporre i tuoi dispositivi a malware, come Eleven11bot, che spesso sfrutta software obsoleti.

• Disattiva le funzionalità di accesso remoto quando non sono necessarie : molti dispositivi IoT sono dotati di funzionalità di accesso remoto che consentono agli utenti di gestire i dispositivi da qualsiasi luogo. Sebbene sia comodo, lasciare queste funzionalità abilitate inutilmente può aprire una porta secondaria per gli hacker. Se non hai bisogno dell'accesso remoto, assicurati di disattivare Telnet, SSH o qualsiasi altra porta di accesso remoto per rendere più difficile agli aggressori compromettere il tuo dispositivo. Ciò riduce significativamente la potenziale superficie di attacco. Anche se l'accesso remoto è necessario per attività specifiche, assicurati che sia limitato a reti affidabili e protetto con crittografia avanzata.

• Monitora i cicli di vita dei dispositivi e pianifica la sostituzione : a differenza dei computer tradizionali, molti dispositivi IoT non ricevono supporto a lungo termine dai produttori. Questa mancanza di supporto significa che i dispositivi potrebbero smettere di ricevere aggiornamenti di sicurezza o diventare vulnerabili nel tempo. È essenziale essere consapevoli dello stato di fine vita (EOL) dei dispositivi IoT. Una volta che un dispositivo raggiunge EOL, è fondamentale sostituirlo con un modello più nuovo e sicuro o assicurarsi che sia isolato in modo sicuro dalle reti sensibili. Rivedere regolarmente i dispositivi e sostituire i modelli obsoleti assicura che siano dotati delle funzionalità di sicurezza più recenti e che abbiano meno probabilità di diventare obiettivi per botnet come Eleven11bot.

• Utilizza la segmentazione di rete : per ridurre ulteriormente il rischio, segmenta la tua rete per isolare i tuoi dispositivi IoT dalle parti più critiche della tua rete, come i dispositivi che archiviano dati sensibili. In questo modo, anche se un dispositivo viene compromesso, non sarà in grado di diffondersi ad asset più critici. Prendi in considerazione l'utilizzo di LAN virtuali (VLAN) per creare segmenti di rete separati per diversi tipi di dispositivi. Questo livello complementare di sicurezza rende difficile per gli hacker muoversi lateralmente all'interno della tua rete.

• Utilizzare un potente firewall di rete e un sistema di rilevamento delle intrusioni : oltre a proteggere i singoli dispositivi, assicurarsi che la rete disponga di misure di sicurezza robuste. Un potente firewall può aiutare a bloccare l'accesso non autorizzato, mentre un sistema di rilevamento delle intrusioni (IDS) può rilevare attività insolite o potenziali attacchi. Questi strumenti lavorano insieme per aggiungere un ulteriore livello di difesa, aiutando a identificare e fermare il traffico dannoso prima che possa infettare i dispositivi.

• Fai attenzione alle applicazioni IoT di terze parti : quando integri applicazioni di terze parti con i tuoi dispositivi IoT, assicurati sempre che l'app o il servizio provengano da una fonte affidabile. Molti dispositivi IoT si affidano ad app complementari per la configurazione e la gestione, ma alcune di queste app potrebbero presentare vulnerabilità di sicurezza che gli aggressori potrebbero sfruttare. Leggi attentamente le recensioni degli utenti e verifica eventuali problemi di sicurezza noti con le app che stai utilizzando. Inoltre, assicurati che le applicazioni di terze parti abbiano solide policy sulla privacy e non condividano mai dati sensibili senza il tuo consenso.

Applicando queste misure, gli utenti possono ridurre significativamente la probabilità che i loro dispositivi IoT vengano compromessi e incorporati in botnet come Eleven11bot, il che potrebbe portare a interruzioni di rete, violazioni dei dati e attacchi informatici più gravi. Proteggere i tuoi dispositivi IoT non significa solo proteggere i singoli gadget, ma anche stabilire un approccio di sicurezza olistico che coinvolga sia misure tecniche sia una mentalità proattiva.