Az új ShadowV2 botnet az AWS-leállást lovagolta meg

Nem frissülnek az elavult eszközök

A D-Link több érintett eszközét már nem támogatja, vagyis ezekre nem ad ki több firmware-frissítést, így a ShadowV2 számára könnyű célpontokká váltak. A TP-Link egyik hibáját ugyan egy bétaverziós firmware-javítással már orvosolták, de számos modell továbbra is veszélyben van. A ShadowV2-támadások elsősorban routereket, NAS-okat és DVR-eket érintettek a kormányzati, technológiai, gyártóipari, távközlési és oktatási szektorban világszerte – Észak- és Dél-Amerikától Európán át Ázsiáig, Afrikáig és Ausztráliáig.

Összetett, pénzéhes fenyegetés

A ShadowV2 kártevő egy letöltő szkripten (binary.sh) keresztül jut be a sérülékeny eszközökre, majd XOR-kódolt konfigurációkat használ, így rejtettebb marad. Képességeit tekintve főképp DDoS-támadásokra alkalmas az UDP, TCP és HTTP protokollokon, és különféle floodtípusokat tud alkalmazni, amelyeket speciális parancsokra indít el. Az ilyen botneteket vagy bérbe adják kiberbűnözőknek, vagy közvetlenül zsarolják az áldozatokat – de hogy a ShadowV2-t ki irányítja, és hogyan akar pénzt keresni, az egyelőre rejtély.

Fontos a firmware-frissítés!

A veszély elkerülése érdekében mindenki számára létfontosságú az IoT-eszközök rendszeres firmware-frissítése, mivel a ShadowV2-höz hasonló botnetek a védtelen eszközöket használják ki leginkább. Az azonosított, kompromittált IP-címek és sebezhetőségek listáját a Fortinet már közzétette, hogy segítse a felismerést.

2025, adrienne, www.bleepingcomputer.com alapján