![Immagine di [AGGIORNATA]I router TP-Link potrebbero essere bannati dagli USA](https://cdn.tomshw.it/storage/media/2024/05/21576/TP-Link-Archer-BE800-5.jpg)
Due pericolose botnet, identificate come Ficora e Capsaicin, stanno intensificando i loro attacchi contro i router D-Link, in particolare quelli che hanno raggiunto la fine del ciclo di vita (EOL) o che eseguono versioni obsolete del firmware. La scoperta, resa nota da un recente rapporto di Fortinet, lancia l'allarme su una crescente minaccia informatica che colpisce sia gli utenti domestici sia le aziende che utilizzano questi dispositivi.
La lista dei dispositivi presi di mira include modelli popolari come DIR-645, DIR-806, GO-RT-AC750 e DIR-845L, ampiamente diffusi in tutto il mondo. Per ottenere l'accesso iniziale, Ficora e Capsaicin sfruttano vulnerabilità note identificate come CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 e CVE-2024-33112. Una volta compromesso il dispositivo, gli aggressori sfruttano le debolezze dell'interfaccia di gestione di D-Link (HNAP) ed eseguono comandi dannosi tramite un'azione "GetDeviceSettings".
Le capacità di queste botnet sono allarmanti: possono rubare dati sensibili ed eseguire script di shell, il che indica un livello di sofisticazione elevato. Tuttavia, secondo gli analisti, l'obiettivo principale degli attacchi sembra essere l'utilizzo dei dispositivi compromessi per condurre attacchi di tipo Distributed Denial-of-Service (DDoS), in grado di paralizzare siti web e servizi online.
Ficora, una variante più recente della famigerata botnet Mirai, è stata specificamente adattata per sfruttare le falle di sicurezza presenti nei router D-Link. I dati telemetrici di Fortinet mostrano una distribuzione geografica casuale, con due picchi significativi di attività registrati a ottobre e novembre. Questo suggerisce una campagna in evoluzione, con periodi di intensa attività intervallati da momenti di relativa calma.
Dopo aver ottenuto l'accesso iniziale ai dispositivi D-Link, Ficora utilizza uno script di shell chiamato "multi" per scaricare ed eseguire il suo payload malevolo attraverso diversi metodi, tra cui wget, curl, ftpget e tftp. Il malware include anche una componente di forza bruta con credenziali predefinite, utilizzata per infettare altri dispositivi basati su Linux, e supporta diverse architetture hardware, ampliando il suo potenziale di diffusione.
Per quanto riguarda le capacità DDoS, Ficora supporta attacchi di tipo UDP flooding, TCP flooding e DNS amplification, massimizzando l'impatto delle sue azioni malevole.
Capsaicin, una variante della botnet Kaiten, è presumibilmente opera del gruppo Keksec, noto per "EnemyBot" e altre famiglie di malware che prendono di mira i dispositivi Linux. A differenza di Ficora, Fortinet ha osservato Capsaicin in un breve ma intenso periodo di attacchi tra il 21 e il 22 ottobre, principalmente in Paesi dell'Asia orientale.
L'infezione avviene tramite uno script downloader ("bins.sh") che scarica binari con il prefisso "yakuza" per diverse architetture, tra cui arm, mips, sparc e x86. Il malware è progettato per individuare e disabilitare altre botnet attive sullo stesso host, dimostrando una strategia di competizione per il controllo delle risorse. Oltre alle capacità DDoS, simili a quelle di Ficora, Capsaicin può anche raccogliere informazioni sull'host e trasmetterle al server di comando e controllo (C2) per il tracciamento.
La minaccia rappresentata da Ficora e Capsaicin sottolinea l'importanza di adottare misure proattive per difendersi dagli attacchi alle botnet. Una delle difese principali consiste nell'assicurarsi che i router e i dispositivi IoT eseguano l'ultima versione del firmware disponibile, che dovrebbe correggere le vulnerabilità note.
Se un dispositivo ha raggiunto la fine del ciclo di vita e non riceve più aggiornamenti di sicurezza, è fondamentale sostituirlo con un modello più recente. Questo è particolarmente importante per le aziende, che rischiano non solo interruzioni del servizio, ma anche la compromissione di dati sensibili.
Come regola generale, è essenziale sostituire le credenziali di amministratore predefinite con password univoche e complesse e disabilitare le interfacce di accesso remoto se non necessarie.
L'aumento degli attacchi alle botnet contro i router D-Link evidenzia la crescente vulnerabilità dei dispositivi connessi a Internet, soprattutto quelli più datati. La collaborazione tra aziende di sicurezza informatica, produttori di dispositivi e utenti finali è fondamentale per mitigare questa minaccia e garantire un ecosistema digitale più sicuro. Solo attraverso un impegno costante nell'aggiornamento dei dispositivi, nell'adozione di best practice di sicurezza e nella consapevolezza delle minacce emergenti sarà possibile contrastare efficacemente l'azione di botnet come Ficora e Capsaicin.