Questo malware Linux ha come target i dispositivi non sicuri di Raspberry Pi

Breve: alcuni dispositivi Raspberry Pi sono sensibili a un malware che asservisce i dispositivi alla mia criptovaluta. Se stai utilizzando un dispositivo Raspberry Pi con le credenziali di accesso predefinite, sei a rischio.

È stato rilevato un malware Linux, Linux.MulDrop.14, che infetta i dispositivi Raspberry Pi. Il malware è stato individuato a metà maggio 2017 con l'obiettivo di estrarre criptovaluta su dispositivi Raspberry Pi con Rasberry Pi 2 che è il più vulnerabile.

Secondo Dr. Web, il produttore di antivirus russo, il malware si presenta sotto forma di uno script Bash che contiene un programma di mining compresso con gzip ed è crittografato con base64. Dopo il lancio, lo script interrompe molti processi e installa librerie come Zmap e sshpass necessarie per il suo funzionamento.

Quali dispositivi Raspberry Pi sono suscettibili?

Il malware si rivolge a dispositivi Raspberry Pi con porte SSH aperte a connessioni esterne. Ottiene l'accesso al dispositivo utilizzando il login Raspberry Pi predefinito "pi" e la password "raspberry".

Il malware modifica la password dell'utente e continua a installare i programmi di mining criptovaluta. Successivamente, installa Zmap, lo strumento di scansione Internet, per la scansione di Internet per altri dispositivi Raspberry Pi vulnerabili con porta SSH aperta e credenziali di accesso predefinite.

Fondamentalmente, si rivolge alle schede Raspberry Pi che utilizzano login e password predefiniti e hanno una porta SSH aperta. Considerando che l'utente predefinito ha ancora accesso amministrativo per installare applicazioni, il malware può utilizzare questa vulnerabilità per installare qualsiasi tipo di programma.

Come proteggere il tuo dispositivo Raspberry Pi da questo attacco di malware

Le versioni precedenti dei dispositivi Raspberry Pi che non sono state aggiornate per un po 'potrebbero essere più vulnerabili a Linux.MulDrop.14 perché hanno la porta SSH aperta per impostazione predefinita.

Esistono due modi per proteggere il tuo dispositivo da questo malware:

  • Aggiorna il sistema operativo. In questo modo, l'id della porta SSH è disabilitato. Raspbian ha disattivato il server SSH per impostazione predefinita a novembre 2016 in un altro per obbligare gli utenti a modificare la password predefinita.

  • Cambia la password predefinita. Il modo migliore per bloccare l'attacco malware è modificare la password e l'accesso predefiniti poiché si infettano utilizzando l'utente e la password predefiniti di Raspberry Pi. Questo protegge un dispositivo che non è stato ancora attaccato dal malware.

Linux.MulDrop.14 sta arrivando dopo che l'altro, Linux.ProxM, è stato avvistato nel febbraio 2017. Questo malware Linux avvia il server proxy SOCKS sui dispositivi infetti. Ciò consente all'autore del Trojan di utilizzarlo per trasmettere traffico malevolo, camuffando la sua posizione e la sua vera identità. I ricercatori affermano di aver infettato più di 10.000 sistemi prima di essere individuato.

A rischio?

Come ha detto Abhishek, "Se si utilizza la password di accesso predefinita, è possibile ottenere molto peggio di essere infettati da questo malware". Lezione dall'episodio ThisLinux.MulDrop.14: non utilizzare mai la password di accesso predefinita.

Raccomandato

Il framework AI Open Source di Facebook PyTorch è alla ricerca di Solid
2019
GalliumOS: la distribuzione Linux per i Chromebook
2019
Come chiudere le applicazioni in esecuzione nel telefono Ubuntu
2019