Новый ботнет Ballista атакует маршрутизаторы TP-Link

Специалисты сервиса изучающего киберугрозы Cato CTRL выяснили, что ботнет использует уязвимость CVE-2023-1389, которая позволяет выполнять команды на удаленном устройстве. После проникновения вирус устанавливает связь с сервером хакеров и получает возможность управлять маршрутизатором. Это открывает путь к запуску вредоносного кода, кибератакам и даже использованию устройств в преступных схемах.

Наибольшее количество зараженных маршрутизаторов зафиксировано в Бразилии, Польше, Великобритании, Болгарии и Турции. Однако атаки направлены не только на частных пользователей, но и на компании в США, Австралии, Китае и Мексике. Под угрозой оказались организации в сфере производства, медицины, технологий и сервисных услуг.

Последняя зафиксированная попытка атаки произошла 17 февраля 2025 года, но исследователи отмечают, что ботнет продолжает развиваться. Недавно обнаружено, что Ballista теперь использует серверы в сети TOR, что усложняет его отслеживание и борьбу с ним.

Эксперты советуют владельцам маршрутизаторов TP-Link Archer AX-21 немедленно обновить прошивку устройства, изменить пароли и отключить удаленное управление, если оно не используется. Также важно следить за активностью сети, так как зараженные маршрутизаторы могут передавать трафик на неизвестные серверы, замедляя работу интернета.

Ботнет Ballista представляет серьезную угрозу, поскольку он способен самостоятельно распространяться и заражать новые устройства. Специалисты предупреждают, что атаки могут продолжаться, и пользователям следует быть особенно осторожными.