• Onderzoek van F5 Labs wijst uit dat de verspreiding van nieuwe vormen van IoT-gerelateerde aanvallen sterk toeneemt
  • Vooral de recente Reaper, Mirai- en Persirai-botnets nemen zienderogen toe
  • Europa telt de meeste Persirai-activiteiten wereldwijd
  • Nederland is binnen Europa het land van waaruit de meeste Mirai-aanvalsactiviteiten plaatsvinden

De online veiligheid in Europa wordt in toenemende mate bedreigd doordat heel veel Internet of Things (IoT)-devices kwetsbaar blijken te zijn voor cybercriminelen, die deze devices gebruiken om allerhande aanvallen uit te voeren. Dit blijkt uit het nieuwste onderzoeksrapport van securityspecialist F5 Networks. Het meest actuele voorbeeld is het Reaper botnet, dat binnen een maand wereldwijd al meer dan een miljoen organisaties en devices heeft geïnfecteerd. Experts verwachten dat Reaper spoedig zal worden gebruikt om soortgelijke cyberaanvallen uit te voeren als met het Mirai-botnet het afgelopen jaar gebeurde.

Het laatste Threat Intelligence Report1 van F5 Labs toont aan dat Europa een rijke voedingsbodem vormt voor Thingbots, botnets die speciaal ontwikkeld worden van IoT-devices. Thingbots zijn vandaag de dag het voorkeuzemiddel van cybercriminelen voor het uitvoeren van onder meer DDoS-aanvallen. Dat is niet vreemd gezien het feit dat er zo’n 8,4 miljard IoT-devices in gebruik zijn (in 2020 zal dit aantal zijn toegenomen tot 20 miljard, zo luidt de verwachting2), waarvan verreweg het grootste deel eenvoudig toegankelijk is via Telnet en waarvan het leeuwendeel bovendien zonder veel problemen te hacken is vanwege gebrekkige beveiligingsmaatregelen.

Mirai systems in Europe — June 2017

‘In dit licht is het logisch dat de aanvallers niet langer dure resources afnemen in hosting-omgevingen om hun botnets te bouwen en te beheren, maar dat ze in plaats daarvan steeds vaker gebruikmaken van het snel toenemende aantal eenvoudig te hacken devices’, aldus Dennis de Leest van F5 Networks. “Het rapport maakt vooral melding van Mirai en Persirai, maar we zagen de afgelopen dagen met Reaper dat de botnets elkaar in rap tempo opvolgen en de gevolgen alleen maar groter worden. Waar Mirai zich richt op default- en zwakke wachtwoorden, zoekt Reaper naar unpatched devices, om ze vervolgens aan het command en control platform toe te voegen.”

Volgens F5 Labs waren er de eerste helft van dit jaar wereldwijd zo’n 30,6 miljoen thingbot-aanvallen. Dit is een stijging van 280 procent in vergelijking met het laatste halfjaar van 2016. 44 procent van de top-50 aanvallende IP-adressen kwam van hosting providers en 56 procent van internet service providers en telecomaanbieders. Ondanks dat het aantal aanvallen de eerste helft van dit jaar over de gehele linie toenam, was er juist een daling zichtbaar als het gaat om de belangrijkste thingbot-varianten Mirai en Persirai. 93 procent van deze aanvallen vond plaats in januari en februari. Dit duidt er op dat de aanvallers binnen afzienbare tijd met nieuwe soorten botnets zullen komen.

Nederland gewilde vestigingsplaats voor Mirai-malware

Het Threat Intelligence report geeft een wereldwijd inzicht in de scanners, loaders en malwaresystemen die te linken zijn aan het beruchte Mirai-botnet, waarvan de grote uitbraak in september vorig jaar plaatsvond en waarbij honderdduizenden IoT-devices – vooral CCTV, routers en DVR’s – werden aangevallen.

Europa bleek wereldwijd de hoogste concentratie van Mirai-scanners te hebben. Mirai-scanners zoeken het internet af naar kwetsbare devices die als aanvalswapen gebruikt kunnen worden. Zodra een device als zodanig wordt aangemerkt, geeft de scanner het IP-adres, het poortnummer en authenticatiegegevens terug aan de Mirai-laadsystemen. Nederland is mede door de hoge internetdichtheid en de wijdverspreide IoT-adoptie binnen Europa het land met de hoogste concentratie Mirai-gerelateerde scanners, loaders en malwaresystemen. Wereldwijd is Nederland zelfs het land met de hoogste concentratie van malware-hosts.

F5 Labs bracht ook de systemen in kaart die werden geïnfecteerd door het Persirai-botnet, een variant van het Mirai-botnet. De cybercriminelen achter het Persirai-botnet richten zich op alle modellen IP-camera’s van een niet nader te noemen Chinese OEM. Deze camera’s hadden een kwetsbaarheid die het voor aanvallers mogelijk maakt om het wachtwoordenbestand van gebruikers in handen te krijgen, waarna zij eenvoudig commando-injecties kunnen uitvoeren. Twee maanden na de uitbraak in mei waren meer dan 600.000 camera’s geïnfecteerd, wat neerkomt op zo’n slordige 10.000 camera’s per dag.

Wereldwijd was er in Europa sprake van de meeste Persirai-activiteit, waarbij het zwaartepunt van het aantal geïnfecteerde IP-camera’s in de UK, België, Nederland, Zwitserland, Italië, Denemarken en Polen lag.

De onderzoekers van F5 Labs hebben tevens de top-50 van de meest aangevallen admin gebruikersnaam/wachtwoord-combinaties opgesteld. Het blijkt dat 47 van deze combinaties bestaan uit een gebruikersnaam die overeenkwam met het wachtwoord. Helaas is het zo dat de administratorgegevens van de meeste IoT-devices die werden geïnfecteerd met Mirai of Persirai niet zijn aan te passen.

1 https://f5.com/labs/articles/threat-intelligence/ddos/the-hunt-for-iot-the-rise-of-thingbots

2 https://www.accenture.com/t20150624T211456__w__/us-en/_acnmedia/Accenture/Conversion-Assets/DotCom/Documents/Global/PDF/Technology_9/Accenture-Internet-Things.pdf