Router yang Tidak Ditambal Memainkan Host ke Botnet Baru yang Besar

Botnet penghancur internet berikutnya perlahan mulai bangun. Sejak akhir Desember, botnet yang dikenal sebagai Satori telah menginfeksi titik akhir baru dan umumnya menunjukkan tanda-tanda bencana yang menunggu untuk terjadi. Bagaimana Anda harus mempersiapkan diri untuk serangan DDoS skala besar berikutnya?

Bonet yang Tidak Aktif Dibangkitkan Kembali

Terakhir kali kami melihat botnet Satori adalah pada tahun 2016—saat masih bernama Mirai. Kita tahu bahwa dua tahun adalah waktu yang lama dalam keamanan informasi, tetapi insiden botnet Mirai sulit untuk dilupakan. Menggunakan jutaan perangkat IoT yang terinfeksi, seperti router, kamera keamanan, dan termostat pintar, botnet Mirai mampu merusak tulang punggung serat untuk hampir seluruh pesisir timur AS. Serangan itu mematikan internet selama berjam-jam.

Satori bukan Mirai, tapi sepupu dekat. Berbeda dengan Mirai, yang perlu mengunduh komponen terpisah sebelum aktif, Satori menyebar seperti cacing. Host yang terinfeksi memindai port terbuka pada router dan perangkat IoT lainnya, mencari kerentanan tertentu. Hingga saat ini, tiga jenis perangkat rentan telah diidentifikasi:

• Gerbang Rumah Huawei router mungkin berisi bug eksekusi kode jarak jauh yang dapat dieksploitasi. Sedikit yang diketahui tentang kerentanannya, dan saat ini tidak ada patch yang tersedia.
• Realtek router memiliki kerentanan serupa, tetapi telah ditambal di banyak sistem, sehingga tingkat keberhasilan eksploitasi ini lebih rendah.
• Jaringan DASAN, produsen router yang kurang dikenal di Korea Selatan, mengoperasikan sekitar 40.000 router. Semua router ini tampaknya rentan terhadap Satori, tetapi pabrikan belum menanggapi peneliti keamanan dan tampaknya tidak mau mengeluarkan tambalan.

Tak perlu dikatakan, siapa pun yang saat ini menjalankan perangkat ini harus mengambil langkah-langkah untuk segera mengisolasi, menambal, atau menggantinya jika perlu.

Selain menginfeksi router, operator jaringan Satori telah menemukan pekerjaan sampingan yang menguntungkan. Malware Satori baru-baru ini menargetkan dan menginfeksi perangkat lunak penambangan cryptocurrency. Dengan mengeksploitasi kerentanan dalam program perangkat lunak yang dikenal sebagai Claymore, malware mampu menimpa alamat dompet cryptocurrency dengan yang dimiliki oleh operator malware. Oleh karena itu, semua mata uang yang ditambang oleh mesin terkait akan dialihkan ke penyerang. Botnet Satori telah mengumpulkan lebih dari $2.000 USD dari cryptocurrency yang dikenal sebagai Ethereum menggunakan metode ini.

Bonet Serbaguna?

Penggunaan botnet khusus ini untuk menambang cryptocurrency menunjukkan bahwa operatornya lebih memikirkan serangan DDoS sederhana. Sementara operator botnet sebelumnya dengan senang hati menggunakan jaringan mereka untuk tujuan pemerasan, serangan lain di akhir 2017 dan awal 2018 menunjukkan bahwa model bisnis ini mungkin mulai berubah.

Peretas telah meresmikan sejumlah skema untuk mencuri atau menambang berbagai cryptocurrency secara parasit. Beberapa kelompok telah mulai menggunakan adware berbahaya untuk menginfeksi situs web dan membajak CPU pengunjung untuk menambang Bitcoin. Grup lain dapat menginfeksi cloud publik Tesla Motors dengan membajak konsol Kubernetes yang tidak dijaga.

Sementara kekuatan pemrosesan individu dari satu router tidak signifikan, jaringan puluhan ribu bot mungkin dapat menghasilkan banyak cryptocurrency secara agregat. Meskipun serangan ini mungkin relatif tidak berbahaya—bagaimanapun juga, tidak melibatkan pencurian atau enkripsi data—potensi gangguan massal tidak dapat disangkal.

Cara Mewaspadai Cryptojacking dan Serangan DDoS

Jika Anda menduga bahwa penyerang telah membajak salah satu perangkat IoT Anda—atau jika Anda berpikir bahwa seseorang sedang mengarahkan serangan DDoS terhadap Anda—Anda harus segera mengetahuinya. Jenis serangan canggih ini terus berkembang, dan tidak ada lagi titik buta di jaringan dan infrastruktur aplikasi Anda. AppNeta dapat membantu dengan menyediakan jendela ke jaringan Anda. Anda akan dapat melihat di mana pelambatan jaringan dan aplikasi terjadi, dan dengan cepat menarik kesimpulan tentang apa yang terjadi.

Serangan DDoS dan cryptojacking akan menyebabkan perlambatan jaringan dan aplikasi yang nyata, yang akan memiliki efek berjenjang dalam hal produktivitas dan respons pelanggan. Jika Anda ingin mengurangi masalah ini sebelum terjadi, hubungi AppNeta untuk demo gratis hari ini.