Nytt Gorilla Botnet slipper løs over 300 000 DDoS-angrep i 100 land
Cybersikkerhet står overfor en ny trussel, og navnet er Gorilla – ellers kjent som GorillaBot. Dette botnettet, en variant av det beryktede Mirai-botnettet, har sluppet løs en strøm av DDoS-angrep (Distributed Denial-of-Service) og har overgått 300 000 angrep i 100 land i løpet av bare noen få uker. I følge nettsikkerhetsfirmaet NSFOCUS skjedde denne nådeløse bølgen av angrep mellom 4. september og 27. september 2024, og skapte global kaos.
Table of Contents
Omfanget av Gorilla Botnets rekkevidde
På en knapp måned har Gorilla-botnettet utstedt et gjennomsnitt på 20 000 DDoS-angrepskommandoer per dag. Land som USA, Kina, Canada og Tyskland har dukket opp som deres primære mål, med et bredt spekter av sektorer – universiteter, telekomleverandører, banker og til og med spill- og gamblingindustrien – som er rammet. Det som gjør dette enda mer alarmerende er omfanget av disse angrepene.
Botnettet bruker primært forskjellige angrepsvektorer, inkludert UDP-flom, ACK BYPASS-flom, Valve Source Engine (VSE)-flom, SYN-flom og ACK-flom. Disse metodene er designet for å overvelde de målrettede systemene med trafikk, noe som gjør det vanskelig, om ikke umulig, for dem å fungere normalt. Av spesiell bekymring er bruken av UDP-flomangrep, som utnytter den forbindelsesløse naturen til UDP-protokollen til å generere en overveldende mengde trafikk ved å forfalske kildens IP-adresser.
En svært sofistikert skadelig programvare
Utover det rene volumet er det sofistikerte det som skiller Gorilla-botnettet. Botnettet er designet for å fungere på tvers av flere CPU-arkitekturer, inkludert ARM, MIPS, x86_64 og x86, slik at det kan infiltrere et bredt spekter av enheter. Når skadevaren infiserer et system, kobles den til en av fem forhåndsdefinerte kommando-og-kontroll-servere (C2) for å motta nye DDoS-kommandoer.
I tillegg utnytter skadevaren en kjent sårbarhet i Apache Hadoop YARN RPC, en feil som har blitt utnyttet siden 2021. Ved å gjøre det oppnår Gorilla-botnettet ekstern kjøring av kode på infiserte enheter, noe som gir den muligheten til å opprettholde langsiktig kontroll over disse systemene. Persistens sikres ved å lage tjenestefiler som automatisk kjører et shell-skript når systemet starter opp eller en bruker logger på.
Motdeteksjonsstrategier
Det som virkelig bekymrer Gorilla er hvor godt det unngår gjenkjenning. I følge NSFOCUS bruker botnettet krypteringsteknikker for å skjule nøkkelinformasjon, noe som gjør det vanskelig for cybersikkerhetseksperter å oppdage og nøytralisere skadelig programvare. Den låner også krypteringsmetoder fra Keksec-gruppen, et beryktet kollektiv kjent for å utvikle skadevare rettet mot IoT-enheter og skysystemer. Kombinasjonen av disse strategiene gjør at Gorilla-botnettet kan opprettholde kontroll over infiserte enheter i lengre perioder uten å bli oppdaget.
Hvorfor du bør bry deg
Gorilla-botnettets raske ekspansjon og dets evne til å utføre store DDoS-angrep på tvers av et så bredt spekter av sektorer gjør det til en formidabel trussel mot både bedrifter, myndigheter og enkeltpersoner. Ettersom IoT-enheter blir stadig mer vanlige i hjem og industrier, fortsetter risikoen for botnett-drevne angrep å øke. For organisasjoner, spesielt de i de målrettede sektorene, er det avgjørende å ta umiddelbare skritt for å styrke cybersikkerhetsforsvaret for å dempe denne typen angrep.
Fremveksten av Gorilla-botnettet er en sterk påminnelse om at cybertrusler utvikler seg, blir mer aggressive og sofistikerte. Enten du er en person som administrerer IoT-enheter hjemme eller en bedrift som kjører kritisk infrastruktur, krever det konstant årvåkenhet og proaktive cybersikkerhetstiltak å være i forkant av disse truslene. Med botnett som Gorilla i naturen er det ikke tiden for å være selvtilfreds.
Organisasjoner bør jobbe tett med cybersikkerhetsfirmaer og holde seg oppdatert på de siste sårbarhetene og truslene for å beskytte nettverkene deres.
