Che cos'è la botnet Meris?

La botnet Meris è un'operazione di botnet incredibilmente potente che ha battuto i record nel 2021 e nel 2022 per le dimensioni degli attacchi DDoS che ha condotto. La botnet Meris si è distinta anche per il numero di dispositivi infetti che è riuscita a controllare (circa 250.000 router) e per il volume di richieste che ha inviato, fino a 46 milioni di richieste al secondo (RPS) in un attacco del 2022 su Google.

Che cos'è una botnet?

Il termine botnet significa letteralmente "rete di robot", ossia un gruppo di computer o dispositivi infettati da software dannosi (malware) che vengono così controllati dai criminali. Le botnet possono contenere decine di migliaia di dispositivi che possono essere utilizzati per sferrare attacchi informatici coordinati. Tra gli usi più comuni delle botnet, figurano l'invio di spam, il furto di dati delle carte di credito, l'esecuzione di campagne di frode tramite clic e la generazione di enormi quantità di traffico dannoso per gli attacchi DDoS.

Che cos'è un attacco DDoS?

Un attacco DoS (Denial-of-Service) è progettato per sovraccaricare un computer o una rete con traffico dannoso, rendendoli incapaci di gestire le richieste legittime e rendendo i loro servizi inaccessibili agli utenti legittimi Gli attacchi DDoS prendono frequentemente di mira il sito web, le applicazioni web, le API, la rete, il data center o l'infrastruttura DNS di un'azienda. Gli hacker possono sferrare attacchi DDoS per ricattare un'azienda, distrarre i team addetti alla sicurezza da altre forme di attacchi informatici, farsi vendetta, fare dichiarazioni politiche o, semplicemente, per divertirsi.

Come funziona la botnet Meris?

La botnet Meris basata sugli attacchi DDoS sfrutta una vulnerabilità presente nel sistema operativo (RouterOS) dei router creati dall'azienda lettone MikroTik, che produce anche access point Wi-Fi, gateway IoT, switch e altre apparecchiature. "Meris" è una parola lettone che significa "peste".

Per sferrare gli attacchi DDoS, la botnet Meris si focalizza sugli attacchi volumetrici a livello di applicazione. La botnet Meris invia un volume eccessivo di RPS a un server di destinazione per sovraccaricare la sua capacità di CPU e risorse di memoria. Con più di 250.000 router sotto il suo controllo, la botnet può lanciare facilmente attacchi DDoS volumetrici di dimensioni multi-terabit che possono battere tutti i record relativi alle dimensioni di un attacco.

Gli esperti ritengono che i criminali possano eseguire il proxy delle richieste da altri dispositivi ai router infetti per nascondere l'origine dell'attacco. La botnet Meris utilizza anche il pipelining HTTP , che consente a una singola connessione di trasmettere più richieste senza dover attendere l'invio della risposta dal server, contribuendo così a potenziare l'RPS della botnet.

Per creare una botnet più potente, si ritiene che Meris abbia abusato di una vulnerabilità corretta con patch dei dispositivi MikroTik (CVE-2018-14847) e abbia riconfigurato il sistema operativo utilizzato dai router MikroTik per consentire l'accesso remoto. Questo attacco ha avuto successo anche con alcuni router MikroTik con patch, poiché, per proteggere i router dall'entrare a far parte della botnet, i team addetti alla sicurezza dovevano anche cambiare la password e aggiornare il firewall.

Qual è la potenza della botnet Meris?

Nel 2021, i ricercatori hanno stimato che la botnet Meris comprendeva più di 250.000 dispositivi e che almeno altri 40.000 dispositivi erano ancora esposti alla vulnerabilità. Le dimensioni della botnet Meris le consentono di penetrare in reti massicce, come i provider di servizi Internet (ISP).

Con oltre 250.000 dispositivi, la capacità massima della botnet Meris potrebbe essere una cifra impressionante pari a 110 milioni di richieste al secondo. In confronto, il più grande attacco DDoS mai registrato in precedenza aveva solo il 20% circa della capacità della botnet Meris.

La botnet Meris ha superato una delle botnet più note, la Mirai, che ha infettato centinaia di migliaia di dispositivi IoT. Tuttavia, la botnet Mirai era limitata dalla piccola quantità di potenza computazionale e dalle limitate funzionalità di rete dei dispositivi IoT. Al contrario, la botnet Meris utilizza un esercito di router con una potenza di elaborazione molto maggiore e migliori funzionalità di trasferimento dei dati rispetto ai dispositivi IoT. La tecnologia alla base della botnet Meris suggerisce che i suoi hacker riescano ad accedere ad una notevole potenza di elaborazione e all'Ethernet ad alta velocità, rendendo questa botnet una minaccia molto più potente per le organizzazioni che non sono protette da un sistema di mitigazione degli attacchi DDoS basato sul cloud.

Quali aziende sono state prese di mira?

La botnet Meris è stata utilizzata per colpire un'ampia gamma di aziende. L'elevato numero di attacchi è stato sferrato contro le aziende del settore bancario, dei servizi finanziari e delle assicurazioni (BFSI). Tra gli attacchi più importanti, figurano:

Un attacco a Krebs on Security che ha raggiunto oltre 2 milioni di RPS
Attacchi sospetti al motore di ricerca Yandex
Un sospetto attacco all'azienda di servizi cloud Cloudflare, che ha registrato 17,2 milioni di RPS
Un sospetto attacco sferrato a giugno 2022 contro Google che è aumentato da 100.000 RPS a 46 milioni di RPS in un'ora, rendendolo il più grande attacco DDoS al livello 7 mai registrato

In che modo le aziende possono difendersi dalla botnet Meris?

Per proteggersi dalla botnet Meris e da altri attacchi DDoS, i team addetti alla sicurezza possono implementare diversi livelli di protezione della cybersecurity, tra cui un firewall DNS, un sistema di protezione delle API, una soluzione WAF (Web Application Firewall) e soluzioni complete per la protezione dagli attacchi DDoS con una capacità di difesa dedicata per bloccare gli attacchi sull'edge della rete di un'organizzazione prima che possano arrecare danni. Le soluzioni per la sicurezza devono includere la protezione di siti web, applicazioni, API, infrastrutture DNS (inclusi server dei nomi DNS autoritativi, GSLB, ecc.) e infrastrutture di rete.

Una potente soluzione per la protezione dagli attacchi DDoS deve offrire un approccio completo che utilizza capacità di difesa dedicata, workflow di mitigazione automatizzati, una combinazione di intelligenza artificiale e umana e la flessibilità di essere implementata on-premise, nel cloud o in modalità ibrida per una protezione DDoS completa ed efficace.

Domande frequenti (FAQ)

Una botnet, o rete di robot, è una rete di computer infettati da malware che consentono ai criminali informatici di controllarli. La persona che controlla la botnet viene chiamata "bot herder" e ogni computer infetto viene chiamato bot. Le botnet possono comprendere computer, server, dispositivi IoT (Internet of Things) e altri tipi di computer.

Per lanciare gli attacchi tramite una botnet, un bot herder invia comandi ai bot da un server CnC (Command and Control), indirizzando i bot ad eseguire azioni come la scansione di altri computer alla ricerca di vulnerabilità, la distribuzione di malware, la diffusione di ransomware, il mining di criptovalute, l'acquisto per lo scalping di biglietti, l'invio di e-mail di phishing e spam o l'offerta di servizi di stresser per siti web.

Uno stresser o un booter di un sito web è un servizio DDoS-for-hire che consente agli hacker con poca esperienza e poche risorse di sferrare comunque attacchi devastanti contro un obiettivo. Sofisticati stresser per siti web sono configurati come soluzioni SaaS (software-as-a-Service) complete di prove gratuite, video tutorial, supporto via e-mail e pacchetti basati su abbonamento con prezzi ridotti fino a 20 dollari al mese.

Perché i clienti scelgono Akamai

Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, l'innovativa intelligence sulle minacce e il team presente su scala globale forniscono una difesa approfondita in grado di proteggere applicazioni e dati critici ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere le loro attività senza rischi.

Prodotti correlati

Bot Manager

Bloccate i bot più subdoli e pericolosi prima che compromettano la fiducia dei clienti.

Ulteriori informazioni

Account Protector

Tenete lontane le frodi e conservate la fiducia dei clienti con la protezione dal controllo degli account.

Ulteriori informazioni

App & API Protector

Sicurezza centralizzata senza compromessi per siti web, applicazioni e API.

Ulteriori informazioni

Content Protector

Bloccate gli attacchi di scraping con tecniche di rilevamento specifiche. Proteggete i vostri contenuti web e il potenziale di profitto.

Ulteriori informazioni

Risorse aggiuntive

Rapporto su frodi e abusi nel 2025: un percorso nelle oscurità dell'intelligenza artificiale

Scoprite quali aree geografiche e settori di tutto il mondo sono stati colpiti più duramente da un'ondata di bot basati sull'intelligenza artificiale e come potete tenere il passo con le loro tattiche creative per le frodi.

Scaricate il rapporto

Riscontrate problemi di affidabilità del web? La gestione dei bot può aiutarvi.

MP_28132_Platform_Nov20_SocialPosts_TurnChangeIntoYourCompetetiveEdge_v1-1

L'aumento dei bot ha reso le soluzioni di gestione dei bot una priorità assoluta per i team di sicurezza di tutto il mondo. Scoprite di più sui bot legittimi e dannosi e su come la vostra azienda può rimanere al passo con le tendenze degli attacchi.

Leggete il blog