Beastmode Botnet

Le code source du tristement célèbre botnet Mirai a été rendu public en 2016. Les cybercriminels n'ont pas perdu de temps et ont commencé à abuser de leur nouvel accès au code pour créer leurs propres variantes de botnet. Même six ans plus tard, Mirai est toujours utilisé comme base pour de nouveaux capots puissants. Un exemple est le botnet Beastmode, qui est toujours en cours de développement actif et continu.

En effet, les chercheurs d'infosec ont observé que Beastmode a mis à jour son arsenal de vulnérabilités exploitées pour en inclure désormais 5 nouvelles. Trois d'entre eux - CVE-2022-26210, CVE-2022-26186 et la famille de vulnérabilités entre CVE-2022-25075 et 25084, peuvent être utilisés pour compromettre les routeurs TOTOLINK. Les exploits ont été ajoutés à la menace une semaine seulement après avoir été publiés sur GitHub. De plus, le botnet cible également plusieurs produits D-LINK obsolètes via la vulnérabilité CVE-2021-45382. Les produits appartenant à TP-Link, Huwaei, NETGEAR et NUUO NVRmimi2, et NVRsolo figuraient également parmi les cibles de la campagne d'attaque menaçante Bastemode.

La principale fonctionnalité du botnet concerne le lancement d'attaques DDoS (Distributed Denial-of-Service). En envoyant une quantité massive de requêtes à une cible choisie, les cybercriminels peuvent perturber les opérations normales de leur victime pendant une période prolongée. Les utilisateurs et les organisations ne doivent pas retarder la mise à jour du micrologiciel de leurs appareils. Après tout, les opérateurs du botnet Beastmode ont démontré leur capacité à intégrer rapidement de nouvelles vulnérabilités et à se débarrasser des erreurs accidentelles. Il ne leur a fallu que trois jours pour supprimer une faute de frappe que les chercheurs en cybersécurité ont découverte dans l'URL : le "downloadFlile.cgi" utilisé par l'appareil observé a été remplacé par "downloadFile.cgi".