Nyt Gorilla Botnet udløser over 300.000 DDoS-angreb i 100 lande
Cybersikkerhed står over for en ny trussel, og dens navn er Gorilla - også kendt som GorillaBot. Dette botnet, en variant af det berygtede Mirai-botnet, har udløst en strøm af DDoS-angreb (Distributed Denial-of-Service) og har overgået 300.000 angreb i 100 lande inden for få uger. Ifølge cybersikkerhedsfirmaet NSFOCUS fandt denne ubarmhjertige bølge af angreb sted mellem den 4. september og den 27. september 2024, hvilket skabte global kaos.
Table of Contents
Omfanget af Gorilla Botnet's rækkevidde
På knap en måned har Gorilla-botnettet i gennemsnit udsendt 20.000 DDoS-angrebskommandoer om dagen. Lande som USA, Kina, Canada og Tyskland er dukket op som deres primære mål, hvor en lang række sektorer – universiteter, teleudbydere, banker og endda spil- og gamblingindustrien – er blevet ramt. Det, der gør dette endnu mere alarmerende, er omfanget af disse angreb.
Botnettet bruger primært forskellige angrebsvektorer, herunder UDP-flood, ACK BYPASS-flood, Valve Source Engine (VSE) flood, SYN-flood og ACK-flood. Disse metoder er designet til at overvælde de målrettede systemer med trafik, hvilket gør det svært, hvis ikke umuligt, for dem at fungere normalt. Af særlig bekymring er brugen af UDP-oversvømmelsesangreb, som udnytter UDP-protokollens forbindelsesløse natur til at generere en overvældende mængde trafik ved at spoofe kildens IP-adresser.
En meget sofistikeret malware
Ud over dets rene volumen er det, der adskiller Gorilla-botnettet, dets sofistikerede. Botnettet er designet til at fungere på tværs af flere CPU-arkitekturer, inklusive ARM, MIPS, x86_64 og x86, hvilket gør det muligt at infiltrere en bred vifte af enheder. Når først malwaren inficerer et system, opretter det forbindelse til en af fem foruddefinerede kommando-og-kontrol-servere (C2) for at modtage nye DDoS-kommandoer.
Derudover udnytter malwaren en kendt sårbarhed i Apache Hadoop YARN RPC, en fejl, der er blevet udnyttet siden 2021. Ved at gøre det opnår Gorilla-botnettet fjernudførelse af kode på inficerede enheder, hvilket giver det mulighed for at bevare langsigtet kontrol over disse systemer. Vedholdenhed sikres ved at oprette servicefiler, der automatisk udfører et shell-script, når systemet starter op, eller en bruger logger på.
Moddetektionsstrategier
Det, der virkelig bekymrer Gorilla, er, hvor godt det unddrager sig registrering. Ifølge NSFOCUS anvender botnettet krypteringsteknikker til at skjule nøgleinformation, hvilket gør det vanskeligt for cybersikkerhedsprofessionelle at opdage og neutralisere malwaren. Det låner også krypteringsmetoder fra Keksec-gruppen, et berygtet kollektiv kendt for at udvikle malware rettet mod IoT-enheder og cloud-systemer. Kombinationen af disse strategier gør det muligt for Gorilla-botnettet at bevare kontrol over inficerede enheder i længere perioder uden at blive opdaget.
Hvorfor du skal bekymre dig
Gorilla-botnettets hurtige ekspansion og dets evne til at udføre store DDoS-angreb på tværs af en bred vifte af sektorer gør det til en formidabel trussel mod både virksomheder, regeringer og enkeltpersoner. Efterhånden som IoT-enheder bliver mere og mere almindelige i hjem og industrier, fortsætter risikoen for botnet-drevne angreb med at vokse. For organisationer, især dem i de målrettede sektorer, er det afgørende at tage øjeblikkelige skridt til at styrke cybersikkerhedsforsvaret for at afbøde disse former for angreb.
Fremkomsten af Gorilla-botnettet er en skarp påmindelse om, at cybertrusler udvikler sig, bliver mere aggressive og sofistikerede. Uanset om du er en individuel, der administrerer IoT-enheder derhjemme eller en virksomhed, der kører kritisk infrastruktur, kræver det konstant årvågenhed og proaktive cybersikkerhedsforanstaltninger at være på forkant med disse trusler. Med botnets som Gorilla i naturen er det ikke tid til at være selvtilfreds.
Organisationer bør arbejde tæt sammen med cybersikkerhedsfirmaer og holde sig opdateret om de seneste sårbarheder og trusler for at beskytte deres netværk.
