Onderzoekers van securitybedrijf Cyble hebben een Internet of Things-botnet ontdekt dat onder meer gebruikt wordt voor verspreiding van ransomware. De bestanden worden 24 uur nadat ze zijn versleuteld, verwijderd.
Vanwege een fout in de implementatie ontvangen de slachtoffers daarna pas instructies over hoe ze hun data terug kunnen krijgen, en welk bedrag aan losgeld geëist wordt.
Het betreft een botnet dat een variant is van de bekende Mirai-malware. Deze infecteert routers, IP-camera’s en IoT-apparaten. Vaak volgen er dan DDoS-aanvallen. Het Mirai-botnet dat de onderzoekers ontdekten, richt zich op Linux-systemen. Via een bruteforce-aanval krijgt het botnet toegang, waarna Medusa-malware wordt uitgevoerd.
Medusa verzamelt informatie over het systeem, waaronder gebruikersnaam en platform. De malware kan het geïnfecteerde systeem ook voor DDoS-aanvallen en bruteforce-aanvallen op andere systemen gebruiken. Bijzonder is dat het gaat om een botnet met ransomware-functionaliteit.
Mirai-malware is een virus dat zichzelf verspreidt via hacks en daarmee nieuwe systemen verzamelt. Dit botnet is sinds 2016 actief en pleegt voortdurend hacks op geautomatiseerde werken. Vaak gaat het om hacks op Internet of Things-apparaten zoals routers, beveiligingscamera’s, Smart TV’s of slimme thermostaten. Wanneer een apparaat is besmet, is het onderdeel van het virus.