Червь Remaiten объединяет в ботнет роутеры

Червь Remaiten объединяет в ботнет роутеры

Эксперты ESET предупреждают о появлении нового червя – Linux/Remaiten. Программа заражает роутеры, модемы и другие сетевые устройства, объединяя их в ботнет. Созданная зомби-сеть может использоваться для DDoS-атак и загрузки вредоносного ПО.

По мнению вирусных аналитиков ESET, Remaiten – доработанная версия известных с 2014 года Linux-ботов Kaiten и Gafgyt, нацеленных на встраиваемые устройства. От предшественников его отличают новые функции. 

В частности, Gafgyt сканирует IP-адреса, пытаясь обнаружить работающий порт Telnet. Найдя искомое, программа подбирает логин и пароль, вводя наиболее распространенные комбинации из заданного списка. Если червю удастся подключиться к системе, жертва получит команду на загрузку исполняемых файлов вредоносной программы.

Remaiten использует тот же способ аутентификации, но действует более избирательно при установке исполняемых файлов. Червь не скачивает все файлы подряд, а пытается распознать инфраструктуру жертвы и подобрать соответствующий загрузчик. Далее программа-загрузчик скачает с управляющего сервера полноценный бот.

Червь Remaiten выполняет команды управляющего сервера. Бот предназначен для реализации DDos-атак и загрузки вредоносных файлов в зараженную систему. Кроме того, в нем предусмотрен код, позволяющий уничтожать другие боты на зараженном устройстве. 

Антивирусные продукты ESET NOD32 детектируют новый бот как Linux/Remaiten. 

 

Подбор логина и пароля для входа в аккаунт Telnet  

 

 

Приветствие от управляющего сервера 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Петербургский провайдер AirNet сообщил об аварии, вызванной DDoS-атакой

Санкт-петербургский интернет-провайдер AirNet, входящий в число крупнейших операторов связи в городе, сообщил об аварии на сети, вызванной DDoS-атакой. Инцидент привёл к массовым сбоям в доступе к интернет-услугам по всему региону. В компании подтвердили, что речь идёт о вредоносной активности, и специалисты уже работают над восстановлением работоспособности инфраструктуры.

Об инциденте сообщило РИА Новости со ссылкой на официальное заявление компании. На данный момент это сообщение исчезло с главной страницы сайта AirNet, однако на странице с информацией о плановых работах указано, что произошла авария на всей сети оператора.

«В данный момент зафиксирована авария на всю сеть, связанная с вредоносной активностью (DDoS-атака). Специалисты уже занимаются решением проблемы. Как только доступ к услугам возобновится, мы сразу же оповестим вас», — приводит РИА Новости цитату из официального сообщения AirNet.

По данным издания «Фонтанка», в ноябре 2024 года AirNet уже подвергался крупной DDoS-атаке. Тогда последствия чувствовались в течение трёх дней. До этого подобных инцидентов у провайдера зафиксировано не было.

В целом, атаки на интернет-провайдеров участились: за последние два года злоумышленники всё чаще используют именно DDoS. Такие атаки могут продолжаться сколь угодно долго, при этом они менее трудозатратны по сравнению с разрушением или шифрованием инфраструктуры.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru