Компания Juniper Networks предупреждает своих клиентов об атаках Mirai-ботента, который сканирует интернет в поисках маршрутизаторов Session Smart, использующих учетные данные по умолчанию.

Как пояснили в компании, малварь ищет устройства с учетными данными по умолчанию, а после получения доступа к ним позволяет удаленно выполнять команды, давая своим операторам возможность осуществлять широкий спектр вредоносных действий.

Впервые эта кампания была замечена еще 11 декабря, когда в сетях клиентов были замечены первые зараженные маршрутизаторы. Позже операторы ботнета использовали пострадавшие устройства для проведения DDoS-атак.

«В среду, 11 декабря 2024 года, сразу несколько клиентов сообщили о подозрительном поведении своих платформ Session Smart Network (SSN), — пишет Juniper Networks. — Все клиенты, не соблюдающие рекомендованные передовые практики и использующие пароли по умолчанию, могут считать себя скомпрометированными, поскольку пароли SSR по умолчанию были добавлены в вирусную базу данных».

Также компания поделилась индикаторами компрометации, которые администраторы могут обнаружить в своих сетях. В их числе:

  • сканирование устройств на распространенных Layer 4 портах (например, 23, 2323, 80, 8080),
  • неудачные попытки входа в SSH-сервисы, свидетельствующие о брутфорс-атаках;
  • внезапное увеличение объема исходящего трафика, указывающее на то, что устройства используются для DDoS-атак;
  • перезагрузка устройств или их нестабильное поведение, указывающее на то, что они скомпрометированы;
  • SSH-соединения с известных вредоносных IP-адресов.

Компания советует клиентам немедленно изменить учетные данные по умолчанию на всех маршрутизаторах Session Smart и использовать уникальные и надежные пароли на всех устройствах.

Маршрутизаторы, уже скомпрометированные в результате этих атак, должны быть перенастроены заново, прежде чем их можно будет вернуть в сеть.

«Если обнаружено, что система заражена, единственным надежным способом остановить угрозу является reimaging, поскольку невозможно точно определить, что именно могло быть изменено или получено с зараженного устройства», — подчеркивают в Juniper Networks.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии