Un acteur malveillant a irrémédiablement détruit son propre botnet avec rien de plus qu'une faute de frappe.
La société de cybersécurité Akamai a repéré le bug dans KmsdBot, un botnet de minage de crypto qui avait également des capacités de déni de service distribué (DDoS, s'ouvre dans un nouvel onglet), avant de récemment planter et signaler un « index hors de portée ».
Les chercheurs d'Akamai surveillaient le botnet lorsqu'une attaque s'est produite sur un site Web axé sur la cryptographie. À ce moment précis, l'acteur malveillant a « oublié » de mettre un espace entre une adresse IP et un port dans une commande et a envoyé la commande à chaque instance de travail KmsdBot. Cela a provoqué l’échec de la plupart d’entre eux et, compte tenu de la nature du botnet, il est resté inactif.
Pas de botnet de persistance
Le botnet est écrit en Golang et n'a pas de persistance, donc la seule façon de le faire fonctionner à nouveau serait de réinfecter toutes les machines qui composent le botnet.
S'adressant à DarkReading, Larry Cashdollar, ingénieur principal en réponse au renseignement de sécurité d'Akamai, a déclaré que presque toutes les activités de KmsdBot suivies par la société avaient cessé, mais a ajouté que les acteurs de la menace pourraient tenter de réinfecter à nouveau les terminaux. Faisant rapport sur l'actualité, Ars Technica a ajouté que la meilleure façon de se défendre contre KmsdBot est d'utiliser l'authentification par clé publique pour les connexions sécurisées au shell, ou au moins d'améliorer les identifiants de connexion.
Selon Akamai, la cible par défaut du botnet est une entreprise qui construit les serveurs en ligne privés de Grand Theft Auto, et bien qu'elle ait pu exploiter la crypto-monnaie pour les attaquants, cette fonctionnalité n'a pas été exécutée pendant l'enquête. Au lieu de cela, c'était l'activité DDoS qui se déroulait. Dans d'autres cas, il visait des sociétés de sécurité et des marques de voitures de luxe.
La société a détecté le botnet pour la première fois en novembre de cette année lorsqu'il a forcé brutalement des systèmes avec des informations d'identification SSH faibles.