En international undersøgelse af mere end 500 millioner IoT-enhedstransaktioner på lidt over to uger mellem 15. december og 31. december 2020 viste en stigning på over 700% i IoT-malware i forhold til en tidligere undersøgelse af pre-lockdown i 2019. Undersøgelsen der er udført af Zscaler ThreatLabz, fandt Gafgyt og Mirai tegnede sig for 97% af IoT malware, Zscaler opdaget.
Lydstyrken og variationen af IoT-enheder, der køres under nedlukning, er enorm. Der blev identificeret 553 forskellige enhedstyper fra 212 producenter. De mest almindelige kategorier, der tegner sig for næsten 65% af det samlede antal, var set-top-bokse (29%), smart-tv (20%) og smarture (20%). Men der var også flere esoteriske enheder, såsom smarte køleskabe og musikalske lamper og selvfølgelig Tesla og Honda biler.
Undersøgelsen viste, at 76% af alle transaktioner fandt sted over almindelig tekst kanaler. De 24%, der forekommer over krypterede kanaler, er tre gange bedre end i 2019, men forbliver uacceptabelt lave. Alle de 533 observerede enheder brugte SSL i en vis kapacitet, men forholdet mellem krypteret og ukrypteret trafik varierede meget mellem kategorierne af enheder.
Enterprise-enheder (f.eks. digitale skiltningsmedieafspillere, digitale videooptagere, IP-kameraer og telefoner, printere og netværksenheder) og underholdnings- og hjemmeautomatiseringsenheder (f.eks. digitale hjemmeassistenter, medieafspillere, set-top-bokse, smarte briller, smartenheder, smart-tv’er og smarture) brugte begge ukrypteret kommunikation til omkring 98 % af deres trafik. Healthcare enheder var bedst, men stadig brugt ukrypterede transaktioner 50% af tiden.
Undersøgelsen undersøgte også de endelige destinationer for IoT-trafikken. Storbritannien og Irland var de bedste destinationslande. Men 11% af trafikken fra underholdningsenheder, næsten udelukkende smarte tv’er og set-top-bokse, blev dirigeret til Kina og Rusland.
I samme periode som denne undersøgelse analyserede Zscaler også IoT-specifik malware, som den opdagede på sin platform. Det blokerede ca. 300.000 transaktioner (ikke nødvendigvis fra tomme kontorer) relateret til IoT-malware, exploits og C &C-kommunikation. Det opdagede 18.000 unikke værter og omkring 900 unikke nyttelastleverancer i løbet af 15-dages tidsrammen.
De to mest almindelige malware familier var Gafgyt og Mirai tegner sig for mere 97% af de observerede nyttelast, selv om andre aktive familier inkluderet Tsunami, VPNFilter, og Hajime. De primære malware-destinationslande (enten leverer malware eller forbinder med det efter infektion) var Kina (56%), USA (19%) og Indien ((14%). Størstedelen af IoT-offerlandene er Irland (48,5 %), USA (31,7 %) og Kina (13,8 %).
Zscaler ThreatLabz giver fire anbefalinger for at forhindre IoT i at blive netværkets bløde underbelly. To er indlysende, men stadig ikke tilstrækkeligt gennemført: ændre standard passwords, og holde sig ajour med patching. Den tredje er omkring synlighed. Da mange IoT-enheder ikke er administreret, er netværkstrafikanalyse vigtig.
Den fjerde anbefaling er at implementere en nul-tillidsarkitektur, så brugere og enheder kun kan få adgang til det, der er nødvendigt. Ikke-godkendt IoT-enheder, der kræver internetadgang, skal blokeres fra alle virksomhedsdata.