Новый вирус Reaper заразил 2 миллиона IoT-устройств

Компания Check Point Research, занимающаяся предоставлением услуг киберразведки, обнаружила вирус Reaper, который атакует девайсы, подключенные к интернету вещей. Компания сообщает, что вирус распространяется гораздо быстрее, чем Mirai, «нашумевший» в 2016 году. По некоторым оценкам, он уже заразил два миллиона IoT-устройств.

Вирус Mirai показал, чем может обернуться атака зараженных устройств, подключенных к интернету вещей. В сентябре 2016 года Брайан Кребс (Brian Krebs) опубликовал статью, посвященную группировкам, которые продают услуги ботнетов для осуществления DDoS-атак. После чего на его сайт обрушилась одна из самых мощных DDoS-атак в истории с трафиком 665 Гбит/с.

Что касается нового вируса, то Reaper имеет определенное сходство с Mirai, но на самом деле это полностью новый и гораздо более сложный вредонос, который стремительно распространяется по миру. Так пишут в своем блоге Check Point Research.

Однако новый вирус использует известные уязвимости девайсов. В базе Reaper содержится информация об устройствах следующих компаний: D-Link, Netgear, Linksys, AVTech, Vacron, JAWS и GoAhead.

Некоторые из указанных производителей уже выпустили обновления безопасности, однако не все пользователи их установили. Поэтому многие устройства пока остаются под угрозой.

Комментируя ситуацию, Надир Израэль (Nadir Izrael), сооснователь компании Armis, обеспечивающей безопасность интернета вещей, указал на проблему обновлений.

Он отметил, что большинство подключенных девайсов обновить не так просто. По его словам, у многих из них нет нормального интерфейса, понятного пользователям и ИТ-специалистам. На некоторых стоит стандартный пароль, который владелец может не знать. А часть вообще не поддерживает обновления.

Специалисты проанализировали код Reaper и обнаружили, что вредонос способен проводить DDoS-атаки, но их пока не было. Вероятно, автор вируса ждет, пока тот распространится по миру.

Зараженные устройства автоматически рассылают вирус на другие подключенные гаджеты — по данным Check Point Research, этим «занимается» приблизительно 60% корпоративных сетей, являющихся частью глобальной сети ThreatCloud.

Например, для подключения к ботнету IP-камеры GoAhead используется уязвимость CVE-2017-8225. Файл System.ini зараженного устройства содержит netcat-команду, которая устанавливает соединение с системой атакующего. После чего гаджет самостоятельно начинает поиск других «жертв». Подобным образом, вирус попадает на 10 тысяч новых устройств ежедневно.