Nem frissülnek az elavult eszközök
A D-Link több érintett eszközét már nem támogatja, vagyis ezekre nem ad ki több firmware-frissítést, így a ShadowV2 számára könnyű célpontokká váltak. A TP-Link egyik hibáját ugyan egy bétaverziós firmware-javítással már orvosolták, de számos modell továbbra is veszélyben van. A ShadowV2-támadások elsősorban routereket, NAS-okat és DVR-eket érintettek a kormányzati, technológiai, gyártóipari, távközlési és oktatási szektorban világszerte – Észak- és Dél-Amerikától Európán át Ázsiáig, Afrikáig és Ausztráliáig.
Összetett, pénzéhes fenyegetés
A ShadowV2 kártevő egy letöltő szkripten (binary.sh) keresztül jut be a sérülékeny eszközökre, majd XOR-kódolt konfigurációkat használ, így rejtettebb marad. Képességeit tekintve főképp DDoS-támadásokra alkalmas az UDP, TCP és HTTP protokollokon, és különféle floodtípusokat tud alkalmazni, amelyeket speciális parancsokra indít el. Az ilyen botneteket vagy bérbe adják kiberbűnözőknek, vagy közvetlenül zsarolják az áldozatokat – de hogy a ShadowV2-t ki irányítja, és hogyan akar pénzt keresni, az egyelőre rejtély.
Fontos a firmware-frissítés!
A veszély elkerülése érdekében mindenki számára létfontosságú az IoT-eszközök rendszeres firmware-frissítése, mivel a ShadowV2-höz hasonló botnetek a védtelen eszközöket használják ki leginkább. Az azonosított, kompromittált IP-címek és sebezhetőségek listáját a Fortinet már közzétette, hogy segítse a felismerést.
