Ubiquiti Botnet

Da ormai diversi mesi InTheCyber registra un incremento nel numero di apparati di rete Italiani colpiti da infezione “BrickerBot”.

BrickerBot è una botnet che rende inutilizzabili i sistemi IoT che utilizzano credenziali di default.

Nel caso di apparati di rete Ubiquiti, la botnet ne modifica l’hostname nel tentativo di allertare i proprietari del dispositivo comunicando la tipologia di vulnerabilità sfruttata.

Solo in Italia sono stati attaccati con successo circa 1700 router.

Fig.1 Ubiquiti exploitation type in Italy

In Italia la maggior parte dei dispositivi risulta essere stata compromessa tramite l’utilizzo di credenziali “guessable”.

Gli hostname “HACKED-ROUTER-HELP-SOS-WAS-MFWORM-INFECTED” evidenziano la precedente compromissione dell’apparato da parte del malware “MFWorm” (che aggiunge un utente sfruttando una vulnerabilità nota dal 2015).

Tanti ISP minori italiani che sono stati coinvolti.

Fig.2 Ubiquiti product involved

INTHECYBER – Honeypot Tracking

Il CyberSecurity Center di InTheCyber monitora attacchi su rete pubblica tramite diverse tecniche di raccolta dati e attività di IR.

Nell’ultimo mese, sono stati rilevati 9000 IP che effettuano scansioni e BruteForce su protocollo SSH e Telnet generando un totale di 4 milioni di eventi.

Di questi, 1500 circa hanno sfruttato utenze di default utilizzati da apparati Ubiquiti, circa 200 sono quelli che hanno tentato di sfruttare le utenze create da MFWORM.