Clé à emporter
- Les experts en sécurité ont découvert un nouveau logiciel malveillant qui attaque les appareils connectés à Internet, tels que les routeurs et les caméras de sécurité, pour les intégrer à un botnet.
- Les auteurs de logiciels malveillants sont toujours à la recherche de moyens de s'introduire dans les appareils exposés à Internet pour les utiliser à toutes sortes de fins néfastes, préviennent les experts.
-
Les experts suggèrent que les gens peuvent contrecarrer de telles attaques en installant sans délai des correctifs de sécurité et en utilisant des produits anti-programme malveillant entièrement mis à jour.
L'explosion d'appareils intelligents connectés à Internet et non surveillés ne met pas seulement leurs propriétaires en danger, mais peut également être utilisée pour faire tomber des sites Web et des services populaires.
Des chercheurs ont récemment découvert une nouvelle souche de malware qui attaque les failles de sécurité de plusieurs routeurs. Une fois infectés, les routeurs compromis sont intégrés à des botnets malveillants que les cybercriminels utilisent pour attaquer un site Web ou un service en ligne avec du trafic indésirable et les mettre hors service. C'est ce qu'on appelle une attaque par déni de service distribué (DDoS) dans le langage de la cybersécurité.
"Malheureusement, il y a beaucoup trop de systèmes mal protégés qui peuvent facilement être cooptés dans ces attaques", a déclaré Ryan Thomas, vice-président de la gestion des produits chez le fournisseur de solutions de cybersécurité LogicHub, à Lifewire par e-mail. "La clé pour les utilisateurs finaux n'est pas de faire partie de ces cibles faciles."
Nous sommes les Borg
Les chercheurs de la société de cybersécurité Fortinet ont découvert une nouvelle variante d'un logiciel malveillant populaire de botnet qui avait appris de nouvelles astuces pour assimiler les routeurs grand public. Selon leurs observations, les mauvais acteurs derrière le botnet Beastmode (alias B3astmode) ont "mis à jour de manière agressive son arsenal d'exploits", ajoutant un total de cinq nouveaux exploits, dont trois attaquant des vulnérabilités dans les routeurs Totolink.
Notamment, ce développement est intervenu peu de temps après que Totolink a publié des mises à jour du micrologiciel pour corriger les trois vulnérabilités de gravité critique. Ainsi, alors que les vulnérabilités ont été corrigées, les attaquants parient sur le fait que de nombreux utilisateurs mettent du temps avant de mettre à jour le firmware de leurs appareils, et certains ne le font jamais.
Le botnet Beastmode emprunte son code au très puissant botnet Mirai. Avant leur arrestation en 2018, les opérateurs de botnet Mirai avaient ouvert le code de leur botnet mortel, permettant à d'autres cybercriminels comme Beastmode de le copier et d'infuser de nouvelles fonctionnalités pour exploiter plus d'appareils.
Selon Fortinet, en plus de Totolink, le malware Beastmode cible également les vulnérabilités de plusieurs routeurs D-Link, une caméra IP TP-Link, des appareils d'enregistrement vidéo réseau de Nuuo, ainsi que les produits de surveillance ReadyNAS de Netgear. Fait inquiétant, plusieurs produits D-Link ciblés ont été abandonnés et ne recevront pas de mise à jour de sécurité de la part de l'entreprise, ce qui les rend vulnérables.
"Une fois que les appareils sont infectés par Beastmode, le botnet peut être utilisé par ses opérateurs pour effectuer une variété d'attaques DDoS couramment trouvées dans d'autres botnets basés sur Mirai", ont écrit les chercheurs.
Les opérateurs de botnet gagnent de l'argent en colportant leur botnet composé de plusieurs milliers d'appareils compromis à d'autres cybercriminels, ou ils peuvent lancer eux-mêmes les attaques DDoS, puis exiger une rançon de la victime pour mettre fin aux attaques. Selon Imperva, les attaques DDoS suffisamment puissantes pour paralyser un site Web pendant des jours peuvent être achetées pour aussi peu que 5 $/heure.
Routeurs et plus
Alors que Fortinet suggère aux utilisateurs d'appliquer sans délai les mises à jour de sécurité à tous leurs appareils connectés à Internet, Thomas suggère que la menace ne se limite pas aux seuls appareils tels que les routeurs et autres appareils de l'Internet des objets (IoT) tels que les moniteurs pour bébé et caméras de sécurité à domicile.
"Les logiciels malveillants deviennent de plus en plus insidieux et intelligents pour forcer les systèmes des utilisateurs finaux à faire partie d'un botnet", a souligné Thomas. Il a suggéré que tous les utilisateurs de PC devraient s'assurer que leurs outils antimalware restent à jour. De plus, chacun doit faire tout son possible pour éviter les sites suspects, ainsi que les attaques de phishing.
Selon TrendMicro, une connexion Internet inhabituellement lente est l'un des signes d'un routeur compromis. De nombreux botnets modifient également les informations de connexion d'un appareil compromis, donc si vous ne parvenez pas à vous connecter à votre appareil connecté à Internet en utilisant les informations d'identification existantes (et que vous êtes sûr de ne pas saisir le mauvais mot de passe), il y a de fortes chances que des logiciels malveillants ont infiltré votre appareil et modifié ses informations de connexion.
En ce qui concerne les logiciels malveillants infectant les ordinateurs, Thomas a déclaré que les consommateurs devraient prendre l'habitude de surveiller l'utilisation du processeur de leurs systèmes à intervalles réguliers. En effet, de nombreux botnets incluent également des logiciels malveillants de cryptomining qui volent et monopolisent le processeur de votre ordinateur pour exploiter les crypto-monnaies.
"Si votre système fonctionne rapidement sans connexions évidentes, cela pourrait être un signe qu'il fait partie d'un botnet", a averti Thomas. "Ainsi, lorsque vous n'utilisez pas votre ordinateur portable, éteignez-le complètement."
