Ботнет Eleven11bot: масштабная киберугроза, меняющая характер DDoS-атак

Грозная киберугроза наводит волны в сфере кибербезопасности. Этот ботнет, получивший название Eleven11bot, был идентифицирован как один из крупнейших распределенных ботнетов типа «отказ в обслуживании» (DDoS), наблюдавшихся в последние годы. Учитывая его масштаб и потенциальные риски, которые он представляет для различных отраслей, исследователи и организации по кибербезопасности по всему миру внимательно следят за его деятельностью.

Что такое Eleven11bot?

Eleven11bot — это ботнет, состоящий в основном из скомпрометированных устройств Интернета вещей (IoT) , в частности, камер безопасности и сетевых видеорегистраторов (NVR). Впервые обнаруженный группой экстренного реагирования Deepfield компании Nokia, этот ботнет активно использовался для запуска гиперобъемных DDoS-атак. Масштаб Eleven11bot ошеломляет: Nokia изначально сообщила о примерно 30 000 зараженных устройств, а дальнейшее сканирование Shadowserver Foundation выявило около 86 400 скомпрометированных устройств IoT.

Эти зараженные устройства, разбросанные по разным странам, находятся под контролем злоумышленников, которые используют их для нарушения работы онлайн-сервисов. В США самая высокая концентрация зараженных устройств — около 25 000, за ними следуют Великобритания (10 000), Канада (4 000) и Австралия (3 000). Огромный размер ботнета делает его исключением среди киберугроз негосударственных субъектов, соперничая с некоторыми из самых значительных ботнетов, наблюдавшихся с начала 2022 года.

Чего хочет Eleven11bot?

Основная функция Eleven11bot — проведение масштабных DDoS-атак. Цель этих атак — перегрузить целевые сети, сделав онлайн-сервисы недоступными. Такие секторы, как игры и коммуникации, уже ощутили последствия, некоторые атаки длились несколько дней и приводили к серьезным сбоям в работе сервисов.

Интенсивность атак значительно варьируется, при этом отчеты указывают на уровни трафика от нескольких сотен тысяч до нескольких сотен миллионов пакетов в секунду (pps). Такие вариации предполагают, что операторы Eleven11bot могут модулировать мощность атак в зависимости от своих целей, цели и доступных ресурсов.

Хотя точные мотивы Eleven11bot остаются неясными, его время и быстрый рост вызывают вопросы. Фирма по кибербезопасности GreyNoise отметила, что значительная часть (61%) IP-адресов, связанных с ботнетом, происходят из Ирана. Это наблюдение совпадает с усилением геополитической напряженности, хотя официальной информации о государственном вмешательстве не было.

Как это работает?

Eleven11bot расширяет свое влияние, эксплуатируя уязвимости в устройствах IoT. Исследователи из GreyNoise и других компаний по кибербезопасности выявили несколько методов, используемых ботнетом для заражения новых устройств, в том числе:

• Атаки методом подбора — автоматизированные скрипты пытаются получить доступ, многократно угадывая слабые или стандартные пароли.
• Использование учетных данных по умолчанию . Многие устройства Интернета вещей поставляются с заводскими учетными данными, которые пользователи не меняют, что делает их легкой добычей.
• Сканирование открытых портов SSH и Telnet . Ботнет ищет устройства с незащищенными точками доступа к сети, что позволяет злоумышленникам удаленно получить управление.

После взлома устройства IoT оно становится частью ботнета и может использоваться для запуска дальнейших атак, продолжая цикл заражения и нарушения работы.

Последствия Eleven11bot

Рост Eleven11bot подчеркивает текущие проблемы, вызванные небезопасными устройствами IoT и меняющимся ландшафтом угроз кибератак. Последствия этого ботнета значительны:

1. Повышение уровня угрозы DDoS . Зараженные десятки тысяч устройств, Eleven11bot может нарушить работу онлайн-сервисов в беспрецедентных масштабах, затрагивая предприятия, правительства и частных лиц.
2. Уязвимость устройств Интернета вещей . Ботнет выявил широко распространенные уязвимости безопасности подключенных устройств, что подтверждает необходимость принятия более жестких мер безопасности, таких как обязательная смена паролей и обновление прошивки.
3. Возможные геополитические последствия . Хотя окончательная принадлежность не установлена, географическое распределение зараженных устройств и недавние геополитические события позволяют предположить, что на активность ботнета могут влиять более масштабные международные события.
4. Проблемы киберзащиты – Фирмы по кибербезопасности и сетевые операторы должны постоянно адаптироваться к противодействию таким угрозам, как Eleven11bot. Расширение сотрудничества и упреждающие меры безопасности будут иметь важное значение для минимизации рисков, создаваемых такими ботнетами.

Что можно сделать?

Пользователи могут предпринять несколько шагов, чтобы защитить себя от ботнетов, таких как Eleven11bot:

• Защитите устройства Интернета вещей — измените пароли по умолчанию, регулярно обновляйте прошивку и отключите ненужные функции удаленного доступа.
• Мониторинг сетевой активности . Внедрите инструменты мониторинга сети для обнаружения необычных схем трафика, которые могут указывать на заражение.
• Примите более строгие меры кибербезопасности . Предприятиям следует применять надежные политики безопасности, включая системы обнаружения вторжений и защиту с помощью межсетевых экранов.
• Сотрудничайте с экспертами по кибербезопасности . Отчетность и обмен информацией об активности ботнетов могут помочь специалистам по безопасности более эффективно отслеживать и нейтрализовывать угрозы.

Заключительные мысли

Eleven11bot представляет собой серьезную проблему в области кибербезопасности, демонстрируя эволюционирующий характер DDoS-атак и критическую необходимость в улучшении безопасности IoT. Поскольку исследователи и компании по кибербезопасности продолжают отслеживать его деятельность, борьба с такими крупномасштабными ботнетами потребует коллективной бдительности, упреждающих мер безопасности и глобального сотрудничества. Хотя полный масштаб его воздействия еще предстоит увидеть, Eleven11bot служит суровым напоминанием о киберрисках, которые сопровождают все более связанный мир.