卡巴斯基的一份新报告显示,2023年,暗网上出现了700多个通过物联网(IoT)设备提供分布式拒绝服务(DDoS)攻击的广告。
这些服务的价格各不相同,取决于目标端的DDoS保护和验证等因素,从每天20美元到每月1万美元不等。这些服务的平均费用约为每天63.5美元,即为每月1350美元。
暗网也是攻击物联网设备零日漏洞的中心,并将物联网恶意软件与基础设施和工具捆绑在一起。
在物联网恶意软件领域,存在许多菌株,其中许多源自2016年臭名昭著的Mirai恶意软件。
网络犯罪分子之间的竞争促使了对抗恶意软件的功能开发。这些策略包括实施防火墙规则、关闭远程设备管理和终止与竞争恶意软件相关的进程。
感染物联网设备的主要方法仍然是对弱密码的暴力攻击,其次是利用网络服务中的漏洞。蛮力攻击主要针对未加密的Telnet协议,使黑客能够通过破解密码获得未经授权的访问权限,允许他们执行命令并部署恶意软件。
在2023年上半年,卡巴斯基的蜜罐记录显示,近98%的密码暴力破解尝试集中在Telnet上,只有2%的密码暴力破解尝试集中在SSH上。
此外,物联网设备还面临着它们使用的服务中的漏洞。这些攻击涉及通过利用物联网web接口中的漏洞执行恶意命令,导致可怕的后果,例如传播像Mirai这样的恶意软件。
卡巴斯基安全专家雅罗斯拉夫·什梅廖夫(Yaroslav Shmelev)敦促供应商优先考虑消费者和工业物联网设备的网络安全。
Shmelev说:“物联网世界充满了网络危险,包括DDoS攻击、勒索软件以及智能家居和工业设备的安全问题。卡巴斯基的报告强调了对物联网安全采取负责任方法的必要性,要求供应商从一开始就加强产品安全性,并主动保护用户。”