Le Botnet Mirai s’en prend aux entreprises

Une nouvelle souche de Mirai est équipée d’une gamme d’exploits beaucoup plus large, et certains visent désormais les appareils de l’Internet des Objets de classe professionnelle.

Hier, nous avons entendu parler d’une nouvelle version de Mirai ; un botnet qui se répand seul et vise les appareils de l’Internet des Objets, également tenu pour responsable d’une attaque par déni de service massive sur les serveurs de Dyn en 2016. Selon les analystes, ce botnet est équipé d’une gamme d’exploits beaucoup plus large, ce qui le rend encore plus dangereux et lui permet de se répandre encore plus rapidement. Il est d’autant plus troublant de constater que cette nouvelle souche ne s’en prend pas seulement aux victimes habituelles (routeurs, caméras IP, et autres objets intelligents), mais aussi aux appareils connectés des entreprises.

Cela n’est pas vraiment surprenant puisque le code source du malware Mirai a été divulgué il y a un moment, et peut désormais être utilisé par presque n’importe quel cybercriminel ayant les connaissances nécessaires en programmation. Par conséquent, le nom Mirai ne cesse d’apparaître dans le rapport relatif aux attaques DDoS qui ont eu lieu au 4ème trimestre publié sur Securelist. Selon notre dernier rapport sur les menaces de l’Internet des Objets, d’autres variantes du malware Mirai sont aussi responsables de 21 % de toutes les infections ayant touché les appareils de l’Internet des Objets.

Étant donné que le code de Mirai est très flexible et s’adapte très bien, il peut facilement être réarmé avec de nouveaux exploits pour élargir son champ d’action. C’est exactement ce qu’il s’est passé cette fois. En plus de ce nouvel ensemble d’exploits qui visent les cibles habituelles comme les routeurs, les points d’accès, les modems ADSL et les caméras réseau, il peut également infecter les appareils des entreprises comme les appareils de grande capacité, les contrôleurs sans fil professionnels, les systèmes de signalisation numérique, et les systèmes de présentation sans fil.

Selon les analystes de Palo Alto Networks, la liste des nouvelles cibles potentielles de Mirai serait la suivante :

  • Systèmes de présentation sans fil wePresent WiPG-1000,
  • Télévisions LG Supersign,
  • Les caméras vidéo réseau DLink DCS-930L,
  • Les routeurs DLink DIR-645 et DIR-815,
  • Les routeurs Zyxel P660HN-T,
  • Les appareils Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660, WNDAP620,
  • Les routeurs et modems Netgear DGN2200 N300 Wireless ADSL2+ et
  • Les contrôleurs sans fil Netgear Prosafe WC9500, WC7600, WC7520.

Et c’est loin d’être fini. Nos experts s’attendent à voir de nouvelles vagues d’infections par Mirai, qui pourraient éventuellement affecter les appareils industriels de l’Internet des Objets.

Comment protéger vos appareils

Pour que vos appareils ne soient pas victimes du botnet Mirai, notre chercheur en sécurité Victor Chebyshev conseillent aux entreprises :

  • D’installer les patchs et les mises à jour du micrologiciel sur tous les appareils et systèmes dès qu’ils sont disponibles ;
  • De surveiller le volume de trafic généré par chaque appareil, puisque les appareils infectés auront un trafic beaucoup plus important ;
  • De toujours modifier les mots de passe par défaut, et d’imposer une politique efficace en matière de mots de passe pour le personnel ;
  • De redémarrer un appareil si vous pensez qu’il agit bizarrement. N’oubliez pas qu’en réalisant cette action vous arriverez peut-être à supprimer le malware existant, mais que cela ne va pas réduire le risque de connaître une nouvelle infection.

Flux de données de Kaspersky quant aux menaces de l’IoT

Afin de protéger les entreprises contre les dernières menaces liées à l’Internet des Objets, nous avons publié de nouveaux renseignements sur les flux de données, notamment en recueillant des données sur les menaces de l’IoT. Pour le moment nous avons plus de 8 000 entrées, et cette base de données est continuellement mise à jour. Vous pouvez intégrer ce flux dans les routeurs, les environnements Web, les systèmes intelligents, et les produits individuels de l’IoT, mais aussi l’ajouter à toutes les solutions de renseignements sur les menaces.

Ce flux repose sur les informations fournies par nos chercheurs et analystes, et sur les données recueillies par un ensemble de « honeypots » et de leurres qui simulent des appareils de l’IoT non protégés. Si vous souhaitez en savoir plus, ou contactez l’équipe responsable des solutions technologiques intégrées, veuillez consulter notre site Internet Kaspersky Internet of Things Threat Data Feed.

Conseils