ITSA-25_Signaturbanner_540x133px_EN_96dpi



Nieuwe malware maakt IoT apparaten onbruikbaar

  1. 7 apr 2017
  2. 0 reacties

malware-300x225

Een nieuwe malwarevariant genaamd BrickerBot valt actief Internet of Things (IoT) apparaten aan en probeert deze onbruikbaar te maken. Dit doet de malware door de storage van de apparaten corrupt te maken en parameters in de kernel te herconfigureren.

De malware is opgemerkt via honeypot servers van beveiligingsbedrijf Radware. Het bedrijf meldt dat de eerste aanval is gedetecteerd op 20 maart en sindsdien consequent aanhouden. De malware richt zich op IoT-apparaten die gebaseerd zijn op Linux BusyBox.

Twee varianten

BrickerBot is in twee verschillende versies actief: BricketBot.1 en BricketBot.2. Beide varianten gaan in eerste instantie op identieke wijze te werk. De malware probeert via brute-force aanvallen toegang te krijgen tot IoT apparaten die via Telnet poorten bereikbaar zijn via internet. Hierbij wordt gebruik gemaakt van een lijst met bekende standaard inloggegevens die op verschillende IoT-apparaten worden gebruikt.

Zodra BrickerBot toegang heeft verkregen tot een IoT apparaat voert de malware een reeks commando’s uit:

  • Willekeurige bits worden weggeschreven naar de opslagschijven van het apparaat om de storage onbruikbaar te maken
  • TCP timestamps worden uitgeschakeld om de internetconnectiviteit te verstoren (internet blijft wel beschikbaar)
  • Het maximaal aantal kernel threads wordt op één ingesteld. Deze waarde bevindt zich doorgaans in de tienduizenden, waardoor dit alle kernel activiteiten stopt.
  • Het apparaat wordt herstart

Permanent Denial of Service

De exacte commando’s die BrickerBot.1 en BrickerBot.2 uitvoeren verschillen, maar in beide gevallen wordt hiermee het bovenstaande resultaat bereikt. De aanval zorgt ervoor dat besmette IoT apparaat binnen enkele seconden na infectie volledig onbruikbaar worden. Een dergelijke aanval wordst ook wel een Permanent Denial of Service (PDoS) genoemd.

BrickerBot.1 maakt gebruik van infrastructuur die bestaat uit IP-adressen die allen lijken te zijn gekoppeld aan Ubiquiti netwerkapparatuur. Denk hierbij aan access points en bridges van het bedrijf. In alle gevallen draaien deze een oudere versie van de Dropbear SSH server. BricketBot.2 maakt gebruik van Tor exit nodes als infrastructuur, waardoor de aanvallen nauwelijks kunnen worden teruggeleid naar hun oorspronkelijke bron.

Meer over
Lees ook
Een miljoen Phishing-as-a-Service-aanvallen in twee maanden benadrukken een dreiging die zich snel ontwikkelt

Een miljoen Phishing-as-a-Service-aanvallen in twee maanden benadrukken een dreiging die zich snel ontwikkelt

Een nieuw rapport over de tools en technieken die bij deze aanvallen worden gebruikt laat zien dat PhaaS-platforms zich snel ontwikkelen, gevaarlijker en beter worden in het ontwijken van detectie. Veel aanvallen zijn gericht op gebruikers van populaire cloud platforms zoals Microsoft 365.

Arctic Wolf Threat Report: cybercriminelen zetten steeds vaker in op dubbele afpersing

Arctic Wolf Threat Report: cybercriminelen zetten steeds vaker in op dubbele afpersing

Uit het 2025 Arctic Wolf Threat Report blijkt dat cybercriminelen hun gedrag aan het veranderen zijn: het wegsluizen van data is de norm geworden en is niet meer een uitzondering. Aanvallers versleutelen niet langer alleen data met ransomware, ze stelen deze data eerst om de druk op hun slachtoffers te vergroten

WatchGuard: 300% stijging in endpoint malware

WatchGuard: 300% stijging in endpoint malware

WatchGuard Technologies signaleert in zijn nieuwste Internet Security Report een zorgwekkende stijging van 300% in endpoint malwaredetecties in het derde kwartaal van 2024. Cybercriminelen richten zich steeds vaker op legitieme websites en documenten om malware te verspreiden.