Eleven11bot: мощная DDoS-машина поразила уже более 86 000 IoT-устройств
Сотни миллионов пакетов обрушиваются на цели, парализуя их на несколько суток.
Новый ботнет Eleven11bot, предположительно связанный с Ираном, поразил более 86 000 интернет-устройств, среди которых преимущественно IP-камеры и сетевые видеорегистраторы (NVR). Инфицированные устройства используются для проведения масштабных DDoS-атак, направленных на телекоммуникационные компании и серверы онлайн-игр.
О наличии угрозы сообщили исследователи Nokia, которые передали собранные данные платформе мониторинга GreyNoise. По словам специалиста по кибербезопасности Жерома Мейера, Eleven11bot представляет собой одну из крупнейших ботнет-кампаний последних лет. Он отметил, что уже на раннем этапе количество заражённых устройств превысило 30 000, а дальнейшее распространение сделало эту угрозу одной из самых масштабных атак со стороны негосударственных группировок с 2022 года.
По данным Shadowserver, число инфицированных устройств к текущему моменту достигло 86 400, большинство из которых находится в США, Великобритании, Мексике, Канаде и Австралии. Анализ трафика показал, что атаки ботнета достигают сотен миллионов пакетов в секунду, а их продолжительность может составлять несколько суток.
Эксперты GreyNoise совместно с Censys зафиксировали 1400 IP-адресов, связанных с деятельностью Eleven11bot. В 96% случаев заражённые устройства оказались реальными, а не поддельными. Наибольшее число вредоносных IP-адресов обнаружено в Иране, при этом более 300 из них классифицированы как вредоносные.
Распространение ботнета осуществляется через подбор слабых паролей, использование стандартных учётных данных, предустановленных на определённых моделях IoT-устройств, а также активное сканирование сетей на наличие открытых портов Telnet и SSH. GreyNoise опубликовала список IP-адресов, связанных с Eleven11bot, и рекомендует защитным системам блокировать их, а также отслеживать подозрительные попытки входа.
Для предотвращения заражения специалисты советуют обновлять прошивки IoT-устройств, отключать удалённый доступ при его ненадобности и использовать сложные, уникальные пароли вместо стандартных заводских комбинаций. Кроме того, из-за ограниченного срока поддержки подобных устройств рекомендуется регулярно проверять их статус и своевременно заменять устаревшие модели на современные решения с актуальными мерами защиты.