I cybercriminali sfruttano la scarsa sicurezza informatica per sfruttare economicamente botnet composte da dispositivi IoT

IoT: a malware story. 105 milioni di attacchi nei primi 6 mesi del 2019

Nei primi sei mesi dell’anno, gli honeypot di Kaspersky hanno rilevato 105 milioni di attacchi su dispositivi IoT provenienti da 276.000 indirizzi IP unici. Si tratta di un dato è sette volte maggiore rispetto a quella registrato nello stesso periodo del 2018: nei primi sei mesi dello scorso anno, infatti, sono stati rilevati “solo” 12 milioni di attacchi provenienti da 69.000 indirizzi IP. I cybercriminali, sfruttando la scarsa sicurezza informatica che spesso caratterizza il mondo dell’IoT, cercano di sfruttare botnet composte da dispositivi IoT. È quanto emerge dal report di Kaspersky dal titolo IoT: a malware story dedicato proprio ai dati derivati dalle attività degli honeypot nel primo semestre del 2019.

I cyberattacchi che prendono di mira i dispositivi IoT sono in continua ascesa: anche se sempre più persone e organizzazioni acquistano dispositivi “smart” (quindi interattivi e collegati a Internet) come router o videocamere di sicurezza DVR, non tutti pensano alla loro sicurezza dal punto di vista digitale. I criminali informatici, invece, sono costantemente alla ricerca di maggiori opportunità per poter avere dei vantaggi di carattere economico dallo sfruttamento delle vulnerabilità di questi dispositivi. Ad esempio, utilizzano reti composte da smart device infetti per portare avanti attacchi DDoS o come proxy per altri tipi di azioni malevole. Per scoprire maggiori dettagli su come funzionano questi attacchi e su come prevenirli, gli esperti di Kaspersky hanno creato degli “honeypot”, dei dispositivi-esca utilizzati per attirare l’attenzione dei criminali informatici e analizzare così le loro attività.

Grazie all’analisi dei dati raccolti tramite gli honeypot, è emerso che gli attacchi che colpiscono i dispositivi IoT di solito non sono sofisticati; si tratta di attacchi furtivi, tanto che gli utenti potrebbero anche non accorgersi di un possibile sfruttamento dei loro dispositivi. La famiglia di malware che sta alla base del 39% di questo tipo di attacchi – Mirai – è in grado di utilizzare gli exploit; questo significa che le botnet possono penetrare attraverso vecchie vulnerabilità non patchate dei dispositivi stessi e prenderne il controllo. Un’altra tecnica messa in atto è quella dell’attacco “forza bruta” tramite i quale individuare le password; si tratta del metodo sfruttato dalla seconda famiglia di malware più diffusa: Nyadrop. Nyadrop è stato rilevato nel 38,57% degli attacchi analizzati e spesso funge da downloader per Mirai. Da un paio d’anni questa famiglia di malware è una delle minacce più attive. Anche la terza botnet più comune per le minacce ai dispositivi intelligenti – Gafgyt – con una percentuale del 2,12% – sfrutta gli attacchi di tipo “forza bruta”.

I ricercatori di Kaspersky sono stati in grado di individuare anche le zone geografiche che, nella prima metà del 2019, sono diventate spesso fonti di infezione: la Cina, dove sono avvenuti il 30% degli attacchi totali; il Brasile, con il 19%; l’Egitto, con il 12%. Un anno fa, nel primo semestre del 2018, la situazione era ben diversa: il Brasile era in testa alla classifica con il 28%; la Cina si trovava al secondo posto, con il 14%, e il Giappone al terzo, con l’11%.

“Le persone tendono sempre più a circondarsi di dispositivi connessi. Nel frattempo assistiamo all’intensificarsi degli attacchi che prendono di mira il mondo IoT. Considerando la crescita del numero di attacchi e la perseveranza dei cybercriminali, possiamo dire che l’IoT è un settore che viene considerato come particolarmente redditizio da parte di attaccanti che utilizzano anche metodi piuttosto elementari, come i tentativi di individuazione di combinazioni di password e login. Si tratta di un metodo più facile da mettere in pratica di quanto si pensi: le combinazioni di username e password più comuni sono di solito “support/support”, seguito da “admin/admin” e “default/default”. È abbastanza facile modificare una password predefinita. Per questo motivo invitiamo tutti a fare un semplice passo in avanti verso una miglior protezione dei propri dispositivi intelligenti” ha dichiarato Dan Demeter, Security Researcher di Kaspersky.

Per garantire la sicurezza dei propri dispositivi, Kaspersky raccomanda agli utenti di:

  • Installare appena possibile gli aggiornamenti firmware sui dispositivi in uso. Una volta che una vulnerabilità viene rilevata, è possibile correggerla tramite una patch disponibile con gli aggiornamenti.
  • Cambiare sempre le password preimpostate. Utilizzare password complesse che includano, se possibile, lettere maiuscole e minuscole, ma anche numeri e simboli.
  • Riportare un dispositivo alle impostazioni di fabbrica non appena si pensa che si stia comportando in modo strano. Una procedura di questo tipo potrebbe aiutare ad eliminare un malware già esistente, anche se, di per sé, non riduce il rischio di contrarre altre infezioni.
  • Limitare l’accesso ai dispositivi IoT grazie a una VPN locale, permettendo l’accesso solo dalla propria rete “domestica”, invece di esporli pubblicamente. Wireguard, ad esempio, è una soluzione VPN semplice e open-source che potrebbe rivelarsi interessante.

Kaspersky raccomanda alle aziende di mettere in atto le seguenti misure preventive:

  • Utilizzare un Threat Data Feed sulle minacce per bloccare eventuali connessioni di rete provenienti da indirizzi di rete malevoli rilevati dai ricercatori sulla sicurezza.
  • Verificare che i software di tutti i dispositivi siano aggiornati. I dispositivi privi di patch dovrebbero essere associati a reti separate, rese inaccessibili a utenti privi di autorizzazione.