行業新聞與博客

卡巴斯基的一份新報告顯示，到 2023 年，暗網上將激增 700 多個廣告，通過物聯網 (IoT) 設備提供分佈式拒絕服務 (DDoS) 攻擊。

這些服務的價格各不相同，具體取決於目標端的 DDoS 防護和驗證等因素，價格從每天 20 美元到每月 10,000 美元不等。平均而言，這些服務的費用約為每天 63.50 美元或每月 1350 美元。

暗網還充當針對物聯網設備中的零日漏洞以及與基礎設施和工具捆綁在一起的物聯網惡意軟件的攻擊中心。

在 IoT 惡意軟件領域，存在多種變體，其中許多源自臭名昭著的 2016 Mirai 惡意軟件。

網絡犯罪分子之間的競爭促使人們開發出對抗競爭對手惡意軟件的功能。這些策略包括實施防火牆規則、關閉遠程設備管理以及終止與競爭惡意軟件相關的進程。

感染物聯網設備的主要方法仍然是對弱密碼進行暴力攻擊，其次是利用網絡服務中的漏洞。暴力攻擊主要針對未加密的 Telnet 協議，使黑客能夠通過破解密碼來獲得未經授權的訪問，從而執行命令並部署惡意軟件。

2023 年上半年，卡巴斯基蜜罐記錄顯示，近 98% 的密碼暴力破解嘗試集中在 Telnet 上，只有 2% 的密碼暴力嘗試集中在 SSH 上。這些襲擊主要與中國、印度和美國有關，其中中國、巴基斯坦和俄羅斯是最活躍的肇事者。

此外，物聯網設備面臨着其使用的服務中的漏洞。這些攻擊涉及利用 IoT Web 界面中的漏洞執行惡意命令，從而導致傳播 Mirai 等惡意軟件等可怕後果。

卡巴斯基安全專家 Yaroslav Shmelev 敦促供應商優先考慮消費者和工業物聯網設備的網絡安全。  

“物聯網世界充滿了網絡危險，包括 DDoS 攻擊、勒索軟件以及智能家居和工業設備中的安全問題，”Shmelev 説。“卡巴斯基的報告強調需要對物聯網安全採取負責任的方法，要求供應商從一開始就增強產品安全性並主動保護用户。”