IoT-ботнеты Mirai и Gafgyt нацелились на корпоративный сектор

Олег Иванов 12 Сентября 2018 - 08:38

Малый и средний бизнес

...

Два самых известных и распространенных IoT-ботнета — Mirai и Gafgyt — продолжают «размножаться». Были обнаружены новые варианты этих вредоносов, нацеленные на корпоративный сектор. Основная опасность этих киберугроз заключается в хорошо организованных и достаточно мощных DDoS-атаках.

Причина такой распространенности этих двух зловредов кроется в слитом исходном коде, который стал доступен общественности несколько лет назад. Начинающие киберпреступники сразу же начали изобретать свои злонамеренные программы на его основе.

В большинстве случае, ввиду некомпетентности злоумышленников, клоны Mirai и Gafgyt не представляли собой каких-то серьезных проектов и не несли существенных изменений в своих возможностях.

Однако последние варианты ботнетов продемонстрировали тенденцию к заражению корпоративных устройств. В отчете Unit 42, команды Palo Alto Networks, говорится, что новые образцы Mirai и Gafgyt добавили в свой арсенал ряд новых эксплойтов, которые используют старые уязвимости.

Mirai теперь атакует системы, на которых запущен непропатченный Apache Struts (именно так в прошлом году взломали бюро кредитных историй Equifax). Патч для бреши CVE-2017-5638 существует уже больше года, но, естественно, не все обновили своим установки.

Всего у Mirai на данный момент 16 эксплойтов, большинство из которых предназначены для компрометации устройств вроде маршрутизаторов, сетевых видеорегистраторов и различных камер.

Gafgyt (также известен как Baslite) также атакует бизнес-оборудование, ориентируясь на недавно обнаруженную уязвимость CVE-2018-9866. Этот критический недостаток безопасности затрагивает неподдерживаемые версии системы Global Management System (GMS) от SonicWall. Исследователи Unit 42 зафиксировали новые образцы 5 августа, то есть менее чем через неделю после публикации модуля Metasploit для этой уязвимости.

Пораженные Gafgyt устройства могут сканировать другое оборудование на наличие различного рода проблем безопасности, а также атаковать их известными эксплойтами. Еще один вид атаки, который может совершать данный вредонос — Blacknurse, представляет собой ICMP-атаку, которая сильно влияет на загрузку ЦП, что приводит к отказу в обслуживании.

Эксперты также обнаружили, что эти два новых варианта ботнетов были размещены на одном домене. Это доказывает, что за ними стоит один и тот же киберпреступник или их группа.

В конец прошлого месяца мы сообщали, что количество кибератак на на IoT за три месяца увеличились более чем в 2 раза. Такие данные приводятся в отчете Global Threat Index за июль 2018 года.

А уже в этом месяце правоохранители раскрыли личность, стоящую за одним из самых известных приемников Mirai — Satori. Оказалось, что за ботнетом стоит аутист, киберпреступнику в настоящее время предъявлены обвинения.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Апреля 2026 - 09:05

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов

Маркетплейсы в России начали жёстче ограничивать пользователей с VPN

Российские пользователи всё чаще сталкиваются со странным поведением крупных маркетплейсов: сайты могут открываться медленно, не загружать карточки товаров, изображения и описания или вовсе работать с заметными сбоями. Проблема затрагивает сразу несколько крупных площадок и уже больше похожа на новую системную практику.

По данным «Известий», нестабильная работа при подключении через ряд популярных VPN-сервисов наблюдается у Wildberries, Ozon и «ВкусВилла».

При этом без VPN эти же сайты продолжают нормально открываться даже за пределами России. То есть формально пользователь может зайти на площадку, но вот нормально посмотреть ассортимент или оформить заказ получается уже не всегда.

Источники на рынке говорят, что маркетплейсы начали внедрять более жёсткие механизмы фильтрации трафика. Если раньше сервисы в основном ограничивались предупреждениями о том, что при использовании VPN возможна некорректная работа, то теперь, похоже, многие площадки перешли к более жёсткому сценарию. В итоге пользователю могут фактически запретить не только покупку, но даже обычный просмотр товаров.

Эксперты предупреждают, что последствия такой практики могут выйти далеко за пределы электронной коммерции. Если подход с более жёсткой фильтрацией начнут применять шире, проблемы могут затронуть и другие чувствительные отрасли: финансовый сектор, трансграничную торговлю и логистику. Кроме того, есть и вполне приземлённый риск: если часть аудитории не сможет нормально даже просматривать товары, это неизбежно ударит по конверсии и оборотам площадок.

При этом полной блокировки VPN, по словам участников рынка, ждать вряд ли стоит. Технически это сложно, да и самим маркетплейсам такой сценарий не особенно выгоден. Скорее речь идёт о точечном ограничении наиболее популярных сервисов и прежде всего их бесплатных версий.

Аналитик Mobile Research Group Эльдар Муртазин связывает происходящее с инициативами регулятора. Он напоминает, что многие современные сервисы обхода ограничений позволяют настраивать исключения для отдельных сайтов, то есть пускать часть трафика мимо VPN. Именно поэтому пользователи пока ещё могут подстраиваться под новые условия.

В отрасли также напоминают, что для самих маркетплейсов VPN — это не только история про обход блокировок, но и зона дополнительных рисков: анонимный трафик, мошенничество и сложность верификации пользователей. Поэтому ужесточение контроля выглядит для площадок логичным шагом, даже если для части аудитории он обернётся неудобствами.

Напомним, Минцифры на днях признало, что искать VPN на iPhone оказалось сложнее, чем на Android. Кроме того, регулятор сразу хотел подключить маркетплейсы и онлайн-сервисы к блокировке VPN.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!